对于多数人而言,一谈到骇客挖掘并成功利用的零时差漏洞,可能都会认为都是微软、Google、苹果等大型科技公司产品的漏洞,又或是企业IT、网通、资安设备的漏洞,其实,相关的风险不仅止于此,最近一个多月以来,多家科技大厂修补零时差漏洞,以及这些漏洞在短时间内就被广泛利用的新闻不断,在整理这些消息的过程中,我们发现,有个议题需要大家格外重视,那就是:攻击者找出这些漏洞、进而滥用的对象,有不少是涉及广泛运用的开源程式库与标准协定,因此,这些问题往往造成更大的影响。
而且,有些零时差漏洞遭利用,可能并无法在很短时间之内就能发现,在数个月之后,厂商、开源软体社群、用户因为有外部资安研究人员投入分析、调查,甚至发生大规模漏洞滥用攻击才找出漏洞根源,之后才能著手修补。
基本上,关于零时差漏洞(zero-days),原本的定义是厂商公告他们掌握的漏洞,但可能当下无法提供修补、缓解方式,或是能提供这些补救措施,但用户如果没有尽快处理这些问题,就形成防护空窗期,后来,随著许多漏洞滥用事故早于厂商公告,现在,零时差漏洞这样的称呼也扩大适用范围,将漏洞在修补程式公开之前就被利用的攻击纳入,而这种行为也称为零时差漏洞利用(zero-days exploited)。
因此,从过往诸多事件来看,零时差漏洞利用的活动可分为两类,第一种,攻击者先发现新的未知漏洞、用于攻击行动后,经过资安业者或产品业者调查,才知道有这样的零时差漏洞,需要打造修补程式;另一种则是有新的漏洞被公开,但还没有修补程式释出,因此将有零时差漏洞的风险,可能有攻击者在修补释出前成功利用,或是根本不会有修补的情形。
过程中,若要缩短漏洞防护空窗期,有赖于业者与用户积极修补漏洞与部署补救与缓解机制,同时示警有哪些漏洞已遭利用,将这些情资传播开来,让大家对这些已知漏洞产生警觉,及早采取行动预防或因应。
值得关注的是,最近一个月,科技大厂修补零时差漏洞的新闻不断,这些厂商在发布安全通告或释出修补的当下,已表明获知该漏洞已有遭利用的情况,由于这段期间消息相当密集,多到几乎平均每周都有3到4起的情况,格外引发我们的关注。
在此同时,我们甚至察觉与以往的不同之处,有些零时差漏洞的影响,其实比大家原先预估的广泛,甚至,有时不一定能很快发现攻击者利用哪个未知漏洞。
今年攻击者滥用零时差漏洞情况大增
攻击者先发现漏洞并利用于攻击行动的情况,近期到底有多严峻?根据我们的统计,2023年9月至10月上半,就出现多达20个零时差漏洞已遭利用的消息,逼近每两天就冒出1个零时差漏洞的状态。