《2021網絡空間測繪年報》解讀｜應用風險分析

新冠疫情爆發以來，遠程辦公、協同辦公的需求大增，大量相關服務暴露在互聯網上，很多都存在安全漏洞。由于這些應用深度參與到企業生產過程中，它們的暴露風險對企業運作、業務運行有重要影響，在《2021網絡空間測繪年報》中，我們對Confluence、Jira為代表的協同辦公應用及用于遠程連接的 SoniaWall SSL-VPN 進行測繪分析，探討它們可能存在的風險。

協同辦公應用往往承載著企業許多重要的機密信息，例如企業的項目規劃，經營數據，人員信息，服務資產信息等等。一旦曝出相關漏洞，往往會導致大量的敏感信息的泄露。信息泄露的后果可能不僅僅包括機密信息的泄露，對企業而言，也可能影響聲譽和商業經營。據IBM發布的全球數據泄露成本報告顯示，企業數據泄露的成本在5年內上升了12%，平均成本已達392萬美元。

我們針對目前市面上常見的兩款協同辦公軟件 Confluence和Jira，從資產分布、版本分布以及脆弱性幾個角度進行了風險分析。其中Confluence資產暴露數量1799個，Jira資產暴露數據4131個。端口主要分布于8090，以及9090，占比均超過7成以上，這兩個端口都是服務默認配置的端口。在已識別出版本的資產中，大部分資產都沒有升級到最新版本，存在著被已知脆弱性攻擊利用的風險。其中命中CVE-2021-26084漏洞資產占比近Confluence 總資產的47%；命中CVE-2021-39128、CVE-2017-17113、CVE-2021-39124、CVE-2021-26070漏洞的資產均超過Jira 總資產數的86%以上，兩者的脆弱性分布如圖1和圖2所示：

圖1  Confluence 脆弱性分布情況

圖2  Jira 脆弱性分布情況

在VPN風險部分中，我們將以SonicWall的VPN產品為例，對暴露在互聯網上的SonicWall SSL-VPN服務進行發現與識別，基于所發生過的安全事件和其脆弱性列表，對SonicWall SSL-VPN的脆弱性進行分析。根據《Global Market Insights 2020》調查，到2026 年，全球VPN市場預計將同比增長12%，價值700億美元。由于VPN產品在企業網絡中的重要性，其安全性常被黑客關注，尤其是銷量靠前的產品，一旦曝出相關漏洞，往往評分較高，波及范圍較廣，例如已經被黑客工具化的數個VPN 漏洞，Pulse Secure “Connect” VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379) 和Palo Alto Networks “Global Protect” VPN(CVE-2019-1579)，這些漏洞至今仍能對企業安全造成嚴重危害。

通過對國內暴露的SoniaWall SSL-VPN資產進行靜態和動態的脆弱性分析，發現2019、2020、2021年曝出的CVE影響面較大，占已知資產的44%-50%，其中有CVSS2.x評分9.0的CVE-2020- 5146和CVSS2.x評分10.0 的CVE-2016-9682、CVE-2016-9683、CVE-2016-9684，脆弱性分布如圖3所示。

圖3  SoniaWall SSL-VPN 資產脆弱性分布

總結來說，蔓延全球的新冠疫情加速了遠程協同辦公應用生態的發展，推動了生產方式和合作模式的轉型，這一趨勢在可預見的未來將繼續發展。然而，以上對協同辦公應用和VPN 應用的測繪分析發現，無論是Confluence、Jira還是SoniaWall SSL-VPN，都存在一定程度的脆弱性。顯而易見的是，這些暴露資產的漏洞一旦被攻擊者惡意利用，將會對相關業務造成損失，甚至可能導致長期的數據泄露等嚴重后果。因此，我們建議相關用戶在使用這些產品時及時升級產品或更新補丁，避免受到漏洞影響，造成不必要的損失。