【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架

锁定漏洞攻击的现象，曾在2018年就有数家资安厂商提出警告，指出利用已知漏洞的攻击事件会日益泛滥。因为，对于骇客而言，这么做可以省下自己找寻弱点的工夫。回顾2020年，我们看见有许多大型IT业者的系统，出现CVSS第3版风险层级接近满分（10分）的漏洞，而这样的情况有多严重？从美国国土安全部一年之内发出3次紧急指令（Emergency Directive），这种史无前例的现象，可以看出端倪。

该单位于2020年发布的命令内容，有2个都与危险程度达满分的漏洞有关，包含了DNS服务器漏洞SIGRed（CVE-2020-1350），以及与AD权限扩张有关的Zerologon（CVE-2020-1472）。这样的态势，也使得他们在2020年发出紧急指令数量，创下有史以来最多的一年。

大型IT厂商网通与资安产品重大漏洞频传，已出现攻击事件

除了上述的微软Windows操作系统漏洞，还有许多企业会运用的网络设备，也在2020年被发现这种CVSS风险层级接近满分的漏洞，这些包含了F5 BIG-IP设备的RCE漏洞CVE-2020-5902、Palo Alto Networks防火墙操作系统（PAN-OS）漏洞CVE-2020-2021，以及2019年底被发现、Citrix于2020年1月修补的CVE-2019-19781漏洞等。而这些漏洞也出现被骇客滥用的案例，例如，2020年8月大型游轮业者Carnival遭到勒索软件攻击，就有资安业者点名该公司被入侵的管道，就是没有修补CVE-2019-19781的Citrix网络设备。

这种企业应用系统出现重大漏洞的情况，还有SAP Netweaver AS Java的CVE-2020-6287（RECON），以及出现在基础架构自动化管理系统Salt的CVE-2020-16846与CVE-2020-25592，还有HPE分别针对容器软件Ezmeral、BlueData EPIC，以及储存装置3PAR StoreServ，修补CVSS风险评分接近10分的重大漏洞，也就是CVE-2020-7196与CVE-2020-7197。

而在工作站电脑的部分，Dell旗下的精简型电脑产品线Wyse，存在容易遭到滥用的CVE-2020-29491与CVE-2020-29492。提供端点防护的趋势企业防毒OfficeScan、Apex One，也被揭露存在CVE-2020-8470、CVE-2020-8598，以及CVE-2020-8599等满分漏洞，甚至ZDNet报导指出，2019年日本重工业三菱电机遭骇，骇客疑似就滥用该厂牌防毒软件的部分重大漏洞而得逞。

这种重大漏洞连接于2020年被揭露的现象，也遍及许多领域的解决方案，尤其是与远距办公有关的系统，更是受到关注。像是在VMware Workspace One数位工作平台中，身份管理模组的漏洞CVE-2020-4006，在公布一个月后，就传出被用来发动攻击的情况。

再者，视讯会议系统和协作平台也是漏洞频传，不只有因中国人创业与系统设计瑕疵接连引发各界关注的Zoom，还有思科的WebEx、Jabber，以及微软Teams等，能够借着传送恶意讯息发动攻击的漏洞，也是时有所闻。

开机程式与通讯协定漏洞影响层面甚广，恐波及数亿台装置

有些在2020年被发现的漏洞，不仅危害程度非常严重，同时影响范围还扩及各式的系统。例如，开源开机程式Grub2存在的漏洞BootHole（CVE-2020-10713），影响所有执行安全开机的个人电脑、服务器，以及物联网装置等，不仅各大版本Linux业者相继修补，就连微软也发出安全公告，并提供安全开机DBX黑名单更新档案。

而这样的情况，也出现在协定层面的漏洞，涉及的范围同样相当广泛。资安研究人员在2020年揭露此种型态的漏洞，包含了存在于TCP/IP网络协定程式库的Ripple20，与4项TCP/IP堆叠元件有关的Amnesia:33；而出现在网域名称系统（DNS）的漏洞，包含了可被用于快取污染（Cache Poisoning）攻击的SAD DNS，以及查询递回漏洞NXNSAttack等，这种型态的漏洞发现，研究人员粗估影响10亿台装置。

不只是有线的网络通讯协定存在严重漏洞，无线通讯也存在类似的情况，例如，存在于Wi-Fi芯片的Kr00k（CVE-2019-15126），还有出现在蓝牙协定的BLURtooth（CVE-2020-15802）、SweynTooth等。由于此类漏洞牵涉范围甚广，需要许多厂商修补自家装置才能缓解，后续引发的效应为何？在新的一年也相当值得观察。