盘点 | 近期重大安全漏洞事件

admin 2022年9月16日08:43:06安全新闻评论9 views2764字阅读9分12秒阅读模式

根据美国国家标准与技术研究所收集的关于常见漏洞(CVE)的数据分析,2020年全球的安全漏洞报告比以往任何一年都多。


托管安全服务提供商Redscan的报告显示,仅2020年报告了18,103个漏洞,其中大多数被列为高度严重级别,占比达57.1%。实际上,2020年披露的高严重性和严重漏洞数量超过了2010年披露的漏洞总数。


安全专业人士担心,在2020年记录的漏洞中,有三分之二以上不需要任何形式的用户交互。利用这些漏洞的攻击者甚至不需要其目标就可以在不知不觉中执行操作,例如单击电子邮件中的恶意链接。


杂志社梳理了3-5月重大安全漏洞事件,这些事件不仅给企业带来数据资产的严重损失,还带来了巨大的社会影响。


01

英特尔、AMD CPU再曝高危漏洞

数十亿计算机受影响


披露时间:2021年5月初

漏洞类型:幽灵漏洞。幽灵漏洞的核心是定时边信道攻击,它打破了不同应用程序之间的隔离,并利用了CPU硬件实现中一种称为推测执行的优化方法,诱使程序访问内存中的任意位置,从而泄漏其秘密。

漏洞危害:泄漏用户秘密。

影响范围5月4日,戴尔公司自曝其上亿台电脑的固件升级驱动中存在一个长达12年的漏洞(已修复)。5月6日,英特尔、AMD等处理器巨头的处理器芯片再次发现新的高危漏洞。

专家观点:现代处理器中普遍存在的的熔断漏洞(Meltdown)和幽灵漏洞(Spectre)由于难以修复,幽灵漏洞将困扰我们相当长的时间。

02

高通芯片高危漏洞影响全球40%手机


披露时间:2021年5月初

漏洞类型:缓冲区溢出漏洞(CVE-2020-11292)。要利用CVE-2020-11292漏洞并控制调制解调器,从应用程序处理器中进行动态更新,攻击者需要利用高通手机芯片中的Qualcomm MSM软件接口(QMI)中的一个堆溢出漏洞。

漏洞危害:攻击者可以利用该漏洞获取使用手机用户的短信、通话记录、监听对话甚至远程解锁SIM卡!更可怕的是,该漏洞的利用无法被常规系统安全功能检测到。

影响范围高通MSM芯片包含2G、3G、4G和5G功能的一系列片上系统(SoC),全部都存在该高危漏洞。目前全球约40%的手机都使用了MSM芯片,其中包括三星、谷歌、LG、OnePlus和小米在内的多家手机供应商的产品。

专家观点:为了保护自己免受利用此类漏洞或相关恶意软件的攻击,建议安卓手机用户将设备尽快更新到最新版本的安卓操作系统。值得注意的是,高通的芯片产品近年来多次爆出高危漏洞。

03

DNS高危漏洞威胁全球数百万物联网设备


披露时间:2021年4月

漏洞危害:不法分子可以利用这些漏洞使目标设备脱机,或者接管控制并执行操作。访问敏感数据,破坏生产和医疗系统,危害普通住宅安全。

漏洞类型:DNS漏洞。称为NAME:WRECK。这些漏洞存在于四个流行的TCP/IP堆栈中,即FreeBSD、IPnet、Nucleus NET和NetX,这些堆栈通常存在于流行的IT软件和IoT/OT固件中,影响全球数以百万计的IoT物联网设备。

影响范围:WRECK漏洞将影响几乎所有行业的组织,包括政府、企业、医疗、制造和零售业等。据悉,仅美国就有超过18万(英国3.6万)台设备受到了影响。

专家观点:除非采取紧急行动来充分保护网络及联网设备,否则NAME:WRECK漏洞的野外利用只是时间问题,有可能导致主要的政府数据被黑客入侵泄漏,制造业生产中断或危及服务业客人的安全。

04

特斯拉重大安全漏洞被公开


披露时间:2021年4月

漏洞危害:先控制无人机悬停在特斯拉上方,然后通过特斯拉的一个软件连接无人机的Wi-Fi热点,从而入侵并控制车辆。

漏洞类型:远程零点击(zero-click)安全漏洞。研究人员开发的黑客攻击程序,可以绕开密钥卡中新改进的加密技术。研究人员表示,黑客完成第一步攻击只需要90秒,利用特斯拉无钥匙进入系统中的安全问题,可以成功将车辆解锁。

影响范围:在欧洲,发生过多起窃贼通过黑客手段盗窃特斯拉汽车的事件,其中大多数车辆都不知下落。

05

微信Windows客户端远程代码执行漏洞


披露时间:2021年4月

漏洞类型:远程代码执行漏洞(CNNVD-202104-1003)

漏洞危害:攻击者可以通过微信发送一个特制的web链接,用户一旦点击链接,微信Windows版便会执行攻击者构造的恶意代码,最终导致攻击者控制用户计算机

影响范围:微信Windows版3.1.0.41及以下版本均受此漏洞影响。

专家观点:目前,腾讯官方已发布最新版本修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

06

印度800万核酸检测结果泄露:网站漏洞

太低级


披露时间:2021年3月

漏洞危害:通过在URL 中增加或减少数字就可以看到其他人的核酸检测结果。每份报告中都有病人的姓名、年龄、性别、家庭地址、核酸检测结果、检测日期、报告号、测试实验室的位置信息等。

漏洞类型:URL漏洞。文本中URL 的结构导致可以获取base64 编码的报告的ID号码(SRF ID),base64编码的报告号码可以解码为简单的数字形式,通过在URL 中增加或减少数字就可以看到其他人的核酸检测结果。

影响范围:印度西孟加拉邦卫生福利部800万核酸检测结果报告泄露

专家观点:建议在生成公开可访问的URL时,应加入不可猜测的或随机的数据位来使得无法通过枚举来获取信息。

07

微软漏洞被黑客疯狂利用,上万企业受影响!


披露时间:2021年3月

漏洞危害:通过这些漏洞,攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接,攻击者则能够完全接管邮件服务器。Exchange中出现的四个零日漏洞已经被至少10个高威胁性黑客组织注意到了,这些黑客组织已经在全球100个国家以上的超过5000台服务器中安装了后门程序,从而攻击者可以简单的通过web浏览器对服务器进行远程控制。

漏洞类型:针对微软的 Exchange Server(电子邮件服务器)的4 个重大零日漏洞,

影响范围:全球数十万台Exchange服务器被攻击,大量企业、政府部门被感染,超过6万家组织受影响。

专家观点:
1、将所有Microsoft Exchange服务器更新为Microsoft提供的最新补丁版本。此更新不会自动进行,需要手动执行。
2、实施复杂密码策略,杜绝弱口令。
3、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击。
4、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。


声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:信息安全与通信保密杂志社,作者Cismag


盘点 | 近期重大安全漏洞事件

原文始发于微信公众号(e安在线):盘点 | 近期重大安全漏洞事件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日08:43:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  盘点 | 近期重大安全漏洞事件 http://cn-sec.com/archives/695694.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: