互联网大漏洞一文回顾2020年重大网络安全事件

2021-12-29 14:37

2020年，新冠肺炎疫情爆发，民众被口罩、安全距离等隔离措施封锁。网络已经成为保障生产生活有序进行的重要角色，甚至成为保障抗疫成功和经济发展的必要条件。

然而，ransomware感染医院网络，危及患者安全；黑客入侵在线视频会议，中断会议或窃取会议资料；以及疫情期间的个人信息泄露等安全事件，无不透露出网络安全行业亟待解决的问题。5G、量子计算机、量子网络等新技术的兴起，也让安防行业面临新的挑战。国家也出台了相关规范和发展政策，引导行业健康成长。

本文将从安全漏洞、与新冠肺炎疫情相关的安全事件、数据泄露、勒索软件、供应链攻击、量子发展、行业规范、国际安全生态和形势等方面回顾2020年的重大安全事件。供参考。

安全漏洞

2020年，已知于闯Seebug漏洞平台共收录漏洞详情938条，于闯404实验室参与漏洞应急响应168条。

根据2020年于闯资讯的年度数据，用户对微软漏洞和苹果设备越狱信息的关注度高于普通漏洞；安卓设备的问题更多集中在恶意应用上；此外，互联网的基础代码库还存在很多漏洞。

根据404实验室的应急数据和于闯信息的阅读统计，我们总结了2020年读者比较关注和影响较大的以下安全漏洞和事件:

NSA向微软报告的签名算法漏洞，可以伪造签名，影响全球数十亿用户

今年1月，微软修复了美国国家安全局在crypt32.dll报告的一个漏洞，该漏洞涉及ECC证书检测旁路。通过利用此漏洞，攻击者可以使任何恶意程序在未修复的系统上拥有合法的可控签名，还可以通过中间人方法构建恶意tls证书。【1】

NetLogon特权提升漏洞或严重影响内网安全生态

在微软发布2020年8月安全更新30天后，Secura安全研究人员披露了CVE-2020-1472漏洞的详细信息。根据细节，2020年9月15日左右，几名安全研究人员编写了该漏洞利用脚本，并在互联网上发布。只有当攻击者位于内部网并且可以访问域控制服务器的端口445时，才能利用此漏洞。成功利用此漏洞后，攻击者将获得域控制管理员权限。【2】

Windows DNS服务器存在漏洞，如不重视可能形成蠕虫攻击

今年5月，Check Point的研究人员向微软报告了一个Windows DNS服务器的安全漏洞，CVSS3的得分高达10.0分。它在微软的代码中已经存在了17年以上，如果通过脚本公开，可能会形成新一波的蠕虫攻击。【3】

Windows SMB Ghost漏洞，已经被用于木马传播

Windows smbvghost是Windows SMBv3协议下的远程命令执行漏洞。该漏洞的利用场景类似于“永恒的蓝色”。黑客可以通过连接到目标主机的端口445来获得系统的最高权限。

漏洞补丁发布后，安全研究人员发现该漏洞也可以用来提高本地权限。根据Jan Kopriva文章中的统计结果，在微软发布补丁后，仍然有103，000台计算机容易受到SMBGhost攻击。2020年6月10日，“黑球”操作增加了相关代码，启用SMBGhost漏洞攻击。【4,5】

苹果多款设备Wi-Fi组件内存破坏漏洞

这是谷歌ProjectZero安全研究员伊恩·比尔发现的各种0点击内存损坏漏洞，存在于Wi-Fi组件中。如果使用定向天线、功率较高的发射机和灵敏的接收机，这一漏洞的利用范围将会扩大。

Treck TCP/IP Stack曝Ripple20漏洞，或影响数十亿IoT设备

国外网络安全公司JSOF的研究人员在Treck TCP/IP Stack中发现了19个0day漏洞，包括多个远程代码执行漏洞，统称为“Ripple20”。攻击者只需与目标设备建立TCP连接，即可尝试利用这些漏洞。Treck TCP/IP Stack是一个专用于嵌入式系统的TCP/IP套件，因此大量的IoT设备都会受到该漏洞的影响。

LILIN多个型号DVR远程命令执行在野0day漏洞

李林的许多数字视频录像机都存在严重的漏洞，如硬编码凭证、任意文件读取和远程命令执行。结合多个漏洞，未经授权的远程攻击者可以在目标设备上以root用户身份执行任意命令。值得注意的是，这些漏洞早在2019年8月就被黑产品用来传播Chalubo、FBot、Moobot等众多僵尸网络。

Apache Tomcat文件包含漏洞

Apache Tomcat AJP协议存在实现缺陷，导致相关参数可控。攻击者可以通过构造特定的参数来读取服务器webapp下的任意文件。如果可以将一个内容可控的文件上传到服务器，攻击者就可以进一步实现远程代码的执行。

Linux内核AF_PACKET原生套接字漏洞

2020年9月3日，openwall披露了CVE-2020-14386权限升级漏洞的原理。该漏洞是由于net/packet/af_packet.c中存在整数溢出漏洞，最终导致拥有CAP_NET_RAW权限的攻击者越界写入，从而实现权限提升或容器转义。

DrayTek Vigor企业级路由器和交换机未授权RCE在野0day漏洞

2020年1月26日，DrayTek的企业路由器和交换机暴露出未经授权的RCE漏洞。该漏洞是由Web登录表单的多个字段中的命令注入造成的，未经授权的攻击者可以利用该漏洞以root权限执行任意命令。值得一提的是，早在2019年，这个漏洞就被发现有野外开采的痕迹。

新冠肺炎疫情相关事件

新型冠状病毒疫情贯穿2020年，在线办公和在线教育的兴起也带来了安全攻防重心的转移。《2020年英国网络安全年度报告》指出，英国政府交通部下属部门国家网络安全中心在2020年年中处理了200多起与冠状病毒相关的网络事件，几乎占报告事件总数的三分之一。【6,7】

从被广泛披露的利用疫情信息钓鱼、传播恶意样本，到新冠肺炎疫苗研发成果，再到黑客对疫苗相关传播冷链的攻击，充分说明网络攻击可以是一面之词，也可以是多个目标点。鉴于不同国家疫苗研究进展和医学研究水平的差异，不同国家的疫苗研究成果也成为有组织黑客窃取的目标之一。【8-12】

疫情也催化了相关行业网络安全的快速发展。Zoom作为一家电话会议软件服务商，在疫情初期经历了用户数量的急剧增加，但也暴露出了很多安全问题。在业务大幅度增长的同时，要修复历史遗留的安全漏洞，重视安全，这就像是一艘抗风浪的船，修补漏水的甲板。网络安全不是一蹴而就的，不采取防范措施是不可能破浪的。【13-15】

数据泄露

2020年，数据泄露仍呈现出原因多样的特点，包括公民个人信息泄露、大型网站数据泄露、第三方造成的数据泄露、ransomware组织泄露的数据等。【16,17】

除了这些常见的数据泄露方式和事件外，2020年部分新冠肺炎感染者的信息被泄露，让患者在对抗病毒的同时承受了巨大的精神压力，这无疑是对患者的二次伤害。出于疫情防控的需要，必须收集大量的个人信息，因此严格管理并确保这些信息不被泄露，应该是监管部门义不容辞的责任。【18】

除了公民个人信息泄露，Xbox和Windows NT 3.5的源代码也被泄露到了网上。自2001年12月Windows 3.5支持结束以来，操作系统在全球的使用率较低，因此源代码泄露并不是重大的安全问题。

值得一提的是，通过编译泄露的Windows NT 3.5源代码，并从安装盘中补充一些缺失的文件，可以获得一个可运行的Windows Server 2003操作系统。这对安全研究具有重要意义。由于Windows系统已经关闭很久了，研究人员可以根据泄露的内容了解Windows系统的底层实现原理。俗话说“知己知彼，百战不殆”。【19】

勒索软件

在新型冠状病毒爆发的背景下，勒索软件不仅会影响数据，甚至会危及人们的生命健康。大部分已经识别检测到的ransomware会广泛传播，被感染的公网设备会横向移动感染内网主机。但是工厂的设备不能及时更新。一旦感染了ransomware，工厂的生产数据就会暴露在风险中，甚至生产线也会停工。【20,21】

疫情之下，医院成为一些别有用心的人的攻击目标之一，可能间接危及人们的生命健康安全。【22,23】

但我们也要认识到，ransomware中使用的漏洞大多不是最新的漏洞，因此加强安全防范，构建有效的安全防御体系，可以有效防止此类问题的发生。【24】

供应链攻击

2020年底，火眼披露的网络安全管理软件产品事件是今年最受关注的供应链攻击事件。事后分析，在整个事件中，攻击者采取了极其谨慎的方法和高超的隐藏技巧。攻击的范围是不可想象的。美国财政部、商务部、能源部和国土安全部都是目标，据信其中两个可能丢失了电子邮件。微软、思科、英特尔和英伟达等公司也受到影响。【25-27】

量子发展

2020年12月4日，中国科学技术大学发布了利用76个光子进行运算的量子计算机“九章”，宣布实现量子优越性。虽然量子计算机的发展还处于起步阶段，但量子的特性也能使其在安全领域发挥巨大的作用。5G量子手机和量子互联网是一些新的尝试。也许这些技术现在看起来有些不成熟，但它们可能仍然具有跨越时代的颠覆意义。【28-30】

行业规范

2020年，国家集中整治公民隐私、网络安全等诸多问题，出台了《网络安全审查办法》《中华人民共和国个人信息保护法》等。，让公民的隐私保护有法可依。【31-33】

集中整治行动确立了行业标准，保护了用户隐私。从监管部门开始，从上到下保护用户的合法权益。【34-37】

国际安全生态与形势

国际安全生态和形势错综复杂，各种历史和现实矛盾，如内部联盟国、联盟体、内部国家、国家、地缘政治冲突等映射到互联网上，将成为改变国际安全生态和形势的因素。在这里，我们也希望通过总结2020年国际网络之间空安全生态的一些事件，来展示国际安全生态和形势的一些变化。

美国将会更加注重网络安全，将对具有深厚背景的大规模网络攻击采取强硬态度。【38,39】中国周边国家网络空间攻防能力的崛起，以及地缘冲突延伸到网络空间所带来的危害，值得警惕。

网络之间的争斗空给实力不对等的国家提供了角力的机会，而这种网络之间的对抗空的本质就是安全人才的竞争。中国周边国家的网络安全能力呈上升趋势。因此，在维护国家领土完整的背景下，一旦地缘冲突延伸到网络空也要警惕可能带来的危害。【40,41】

现实世界的矛盾或加剧网络巴尔干化。

不同的国家对互联网有不同的策略。除了现有的关于互联网应该保持自由开放还是需要加强监管的争论之外，敌对国家之间的地缘政治冲突也可能加剧互联网作为国与国之间没有硝烟的战场。这将进一步导致网络巴尔干化的加剧。即使在这种背景下，也有人试图将国内网络与互联网分开，比如俄罗斯的“断网”行动。

在这里，我们借用《碎片化网络之间的趋势空——基于对俄罗斯“破碎网络”的研究的一段话:“我们需要对网络之间的“碎片化”过程保持谨慎空。在国际领域，要处理好国家安全战略与国际信息流通的关系；在国内领域，需要确保个人信息隐私保护与数据审查和控制之间的关系。只有平衡好这两种关系，才能在当今网络空逐渐‘碎片化’的情况下，更好地保护国家主权安全和个人信息数据安全。" 【42-45】

“千里筑堤塌蚁巢”。回顾2020年，年底曝光的网络安全管理软件产品袭击事件让人们惊叹供应链袭击的强大威力，也再次给了我们警惕和启示。在工控安全的大背景下，保护关键基础设施不仅是防范网络破坏的最后一道防线，也是国家间冲突的缩影。如何有效识别和防御类似攻击，甚至包括0day，既是课题，也是驱动力。一切都离不开安全研究人员和分析人员的辛勤工作。

“心在远方，路在脚下”，网络安全任重道远。

“最伟大的骑士精神是为国为民”，懂得创造空间是义不容辞的责任。