2021年零日漏洞利用激增

2021年，惡意黑客加大零日漏洞利用力度，遭利用的零日漏洞數量創歷史新高，且大多數源自微軟、谷歌和蘋果的軟件。

一如既往，國家支持的高級持續性威脅（APT）組織仍然是漏洞利用的主力軍。但是，他們不是唯一的漏洞利用力量：求財型黑客團伙，尤其是勒索軟件攻擊團伙，大大增加了對零日漏洞的利用，利用零日漏洞的攻擊者中三分之一都是這類黑客團伙。

本周，兩份咨詢報告分別指出，軟件漏洞在補丁推出前即遭利用的情況大幅增加。這兩份報告一份出自Mandiant，另一份出自谷歌安全團隊Project Zero。Mandiant指出，2021年有80個軟件漏洞在補丁推出前即遭到黑客利用；谷歌則識別出了58個此類零日漏洞。

按照Mandiant的說法，相較于2020年錄得的30個，2021年的80個零日漏洞利用代表著167%的增長，而且比2019年的此前最高紀錄32個也增加了一倍多。至于谷歌觀察到的58個零日漏洞利用，則是該公司2020年所錄25個的兩倍還多，也是谷歌2015年最高紀錄28個零日漏洞的兩倍多。

Mandiant表示，出自微軟、谷歌和蘋果的漏洞占了去年遭利用零日漏洞的75%，這可能是因為這三家公司的技術遍布全球，應用廣泛。谷歌自2014年開始維護的一張零日漏洞電子表格顯示，該公司去年觀測到的58個零日漏洞利用中有16個都是該公司自己的技術；21個歸屬微軟的產品；13個出自蘋果的產品。剩下的漏洞分屬其他九個供應商，包括高通、趨勢科技、SonicWall、Accellion（現為Kiteworks）和Pulse Secure。

2012年至2021年期間遭利用的零日漏洞

Mandiant首席分析師James Sadowski表示，這些數據凸顯企業不能忽視惡意攻擊者在非流行技術中尋找和利用零日漏洞的可能性。

他說道：“盡管主流供應商依然是零日漏洞利用的主要目標，但我們也越來越多地觀測到主流供應商之外的零日漏洞利用，兩類技術和供應商遭遇的零日漏洞利用都增加了。”

幾乎過時的一款Accellion產品中的漏洞造成多家大型企業發生數據泄露事件，談及此事時Sadowski表示：“正如我們在Accellion FTA漏洞利用中觀察到的那樣，惡意攻擊者能夠利用這些系統中的漏洞，造成重大損害。”

零日漏洞利用暴增原因多樣

Mandiant發現，去年零日漏洞利用大幅增長是多種原因推動的。該公司認為，企業越來越多地采用云、移動和物聯網技術，增加了企業的在用軟件數量，因而漏洞發現數量也隨之增多。負責交易零日漏洞的所謂漏洞利用經紀人數量增加也是一個因素，這些漏洞利用經紀人促使零日漏洞利用團伙增加了對研發的投資。與此同時，谷歌指出，零日漏洞檢測和披露的改善刺激了零日漏洞的涌現。Mandiant也表示這是可能因素之一。

Mandiant的分析顯示，國家支持的黑客組織繼續統治零日漏洞利用山河。但是，勒索軟件和出于經濟利益動機的其他威脅團伙在攻擊中使用零日漏洞的數量也明顯增加了。

Mandiant首席分析師Sadowski稱，這些惡意黑客可能是從地下漏洞利用經紀人和犯罪服務提供商那里購買零日漏洞利用程序，要不然就是招募必要的人才來內部研究漏洞并開發零日漏洞利用程序，正如Conti勒索軟件團伙案例中所呈現的那樣：Conti泄出的聊天文件表明這伙黑客會討論最近披露的漏洞，并分配人手構建掃描器來識別潛在的脆弱系統。

Sadowski說道：“我們可以看到，隨著勒索軟件團伙從其攻擊活動中攫取到越來越多的資金，他們更加頻繁地在攻擊中使用零日漏洞利用程序。但總的說來，我們非常難以確定惡意黑客可能在哪里得到零日漏洞利用程序。”

Viakoo首席執行官Bud Broomhead表示，零日漏洞利用的增加表明：惡意黑客正將其攻擊途徑轉到傳統威脅評估和檢測解決方案無法發現的漏洞上去。“為什么不僅零日漏洞威脅，還有物聯網漏洞利用和開源軟件漏洞利用都是快速增長的企業威脅？這就是原因所在。”企業面臨的挑戰在于弄清怎樣限制成功零日漏洞攻擊的傷害，弄清如何防御針對新型攻擊途徑的漏洞利用。

Netenrich首席威脅獵手John Bambenek表示，不斷增加的零日漏洞利用表明企業需要具備快速修復能力。

“在漏洞修復方面，企業需要保持靈活性和敏捷性，盡可能多地清除修復障礙，例如簡化測試和變更管理。”