无论在家中或工作场所,我们每天都与许多IT产品为伍,而在长期使用的过程当中,通常会意识到某些软硬体需要进行定期或不定期更新,例如,个人电脑、智慧型手机、平板电脑的作业系统每个月可能至少需要进行安全性更新,持续使用几年后,可能面临系统升级甚至换机需求。
然而,有些隐身在角落或设置在机房的设备,若没有刻意安排定期汰换,恐怕用到厂商终止提供产品更新支援,都还不知道继续使用会面临更多风险。当然有不少人也明知这样的IT产品不再可靠,但限于预算不足、更换不便,甚至纯粹怕麻烦等原因,仍在随时可能会出差错、发生问题等状态下使用。
最广为人知的例子当属小型办公与家用环境(SOHO)Wi-Fi路由器,经常看到资安新闻媒体报导相关安全性事故,这类设备因系统老旧、厂商不再提供韧体改版升级支援,一旦被有心人士找出资安漏洞,就可能被入侵、绑架,而成为僵尸网路的成员,之后遭滥用而能对各种网路服务发动DDoS攻击。
最近就有类似事故发生,例如3月28日的iThome资安日报,刚好整理到超大型僵尸网路TheMoon崛起的消息,他们在3月初在短短72小时内,绑架超过6千台华硕路由器,除此之外,还有其他SOHO路由器、物联网设备遭骇,这些设备都是处于产品生命周期终止、厂商不再提供支援的状态,截至今年1月为此,这个恶意网路扩展到拥有4万台僵尸装置、遍及88国,规模相当惊人。
若纯粹论及IT产品资安漏洞滥用造成的影响,回顾从2020年至今的资安重大事件当中,负责提供远端安全连线的IPsec或SSL VPN设备,持续占据资安新闻版面,如Fortinet、Ivanti/Pulse Secure是最大苦主;以应用程式交付控制器(ADC)著称的F5、Citrix,也常出现在资安公告;而在应用系统方面,不只许多产品搭配的开放原始码事件记录元件Log4j,微软Exchange、VMware的vSphere与Workspace ONE、Atlassian Confluence,也频频列为年度重大漏洞。
至于2023年,CISA目前虽然尚未公布,我们决定依据iThome资安日报一年以来持续报导的新闻内容,权衡全球资安弱点关注态势,以及台湾多数企业与组织可能采用的IT系统,选出年度十大资安漏洞。
就前五大漏洞而言,档案传输管理系统(MFT)漏洞消息近几年延烧,在2023年,当数MOVEit Transfer漏洞CVE-2023-34362影响最显著,因为勒索软体Clop利用这个弱点大举入侵许多企业与组织,引发轩然大波。
在此之前,就有多个MFT类型产品出现重大漏洞而受到关注,像是Accellion FTA、Fortra GoAnywhere(我们列入2023年第五大漏洞),由于这些产品在台湾不普及,但我们仍很担心这把火是否烧到MOVEit,可惜的是,虽有前车之鉴,但危机还是发生了。
以普遍使用程度而言,我们将压缩软体WinRAR漏洞CVE-2023-38831,以及网页浏览协定HTTP/2漏洞CVE-2023-44487,列在第四名、第五名;而上述提到的网路与资安系统,占了排行榜大宗,像是应用程式交付控制器Citrix NetScaler、邮件伺服器软体Zimbra、防火墙与VPN设备兆勤(Zyxel)、行动装置管理平台Ivanti Endpoint Manager Mobile、路由器平台Cisco IOS XE,以及邮件安全闸道Barracuda ESG。
「人非圣贤,孰能无过」厂商开发产品、经营市场不容易,更重要的是「知过能改」,不只是关切所供应的产品与服务须有良好品质,用户导入后的维护与持续使用,更是信任与名誉的长期考验。
对厂商而言,固然有权决定产品技术支援的广度、深度,以及持续期间,因此应设法说服用户更换新机时,还愿意继续信任同一品牌,这取决于厂商自身发展与提供客户的服务。对用户而言,也要有产品与服务生命周期概念,需提早规画汰旧换新的策略,面对既有的IT软硬体资产,也要关注更新消息,确认汰换升级的实机,而非盲目希望「物尽其用」不愿转移。
当双方都对彼此有合理的期待与自我要求时,许多IT产品就能在稳健的状态持续使用,遇到问题,也能互信合作、解决困难。