不得不说的安全漏洞

文/姜开达 孙强 章思宇

不得不说的安全漏洞

文/姜开达 孙强 章思宇

关于安全漏洞，你需要知道的那些事……

对于计算机和互联网来说，安全漏洞是挥之不去的幽灵。去年4月份的心脏出血（Heartbleed）漏洞和Bash漏洞引发了互联网的剧烈震荡，Apache Struts2系列漏洞频发让无数Java应用系统躺着中枪，各类网站CMS和论坛漏洞引发的诸多拖库事件让互联网用户隐私无所遁形。

安全漏洞分类

安全漏洞是在软件、硬件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未充分授权的情况下访问或改变原有系统功能和数据信息。由于种种原因，漏洞的存在是无法避免的。

从作用范围来看，漏洞可以分为本地漏洞和远程漏洞。前者利用本机访问权限实施攻击，比较典型的是本地权限提升漏洞，例如Linux的内核本地提权。后者攻击方可以通过网络远程进行利用，此类漏洞危害较大，并且容易形成大范围影响，例如很多蠕虫病毒都是利用远程漏洞进行传播扩散。

从触发条件来看，漏洞利用可分为主动触发和被动触发。前者，攻击者可以主动完全控制进度，后者需要被攻击者的交互，比如打开了攻击者发送的邮件附件，或者访问了攻击者预置了恶意代码的网站，例如APT里常见的水坑式攻击。

从时间维度来看，漏洞可以分为老漏洞，新漏洞，0Day漏洞。老漏洞一般发现时间较久，各种利用方式都已被详细讨论，相应的补丁和修复方法也已公开。新漏洞一般刚发布不久，各种利用技巧正在被讨论，相应的补丁方案还不成熟或者尚未广为人知。如果攻击者利用自动化的攻击脚本，可以在较短时间内成功入侵大量存在新漏洞的系统。0Day漏洞一般都尚未公开，往往会通过地下途径来交易。被攻击目标范围狭小，但是对于被盯上的受害者，由于无法防备，可能会造成相当大的威胁。普通互联网用户和网络信息系统主要受前两种漏洞影响更大。不过随着时间的推移，同一个漏洞，身份也会发生0Day漏洞-新漏洞-老漏洞的变迁。漏洞扫描是基于已知漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为，漏洞扫描一般对老漏洞的发现比较有效。

从威胁级别来看，安全漏洞可以分为高中低三类。高危漏洞影响范围广，发现利用难度低，较容易获得高级系统权限。中危漏洞需要交互才能拿到部分系统信息，熟练的攻击者才能利用，有一定利用门槛。低危漏洞影响范围小，利用条件极为苛刻，泄露系统信息有限。不过实际攻击渗透过程往往是一系列漏洞的组合，防御方首先需要尽可能提前发现各种安全漏洞的存在，再根据威胁等级对应处理。

高危漏洞是需要严格杜绝的，一旦发现就需要无条件第一时间安排修复。虽然由于某些应用业务客观要求，个别高危漏洞可能无法及时修复，也需要采取多种加固方式来提高漏洞利用门槛，降低潜在威胁。中低危漏洞是普遍存在的，可以说无法完全杜绝，我们也同样需要掌握其具体数量和存在位置，并了解其可能产生的威胁，根据自身的防护等级要求做对应修复和处理规划。

各类漏洞的数量和威胁等级都是在不断动态变化的，图1是近些年国际权威的CVE（CommonVulnerabilities & Exposures）通用漏洞数量变化趋势图。

图1 CVE漏洞数量年度变化柱状

安全漏洞会长期伴随在我们身边，如影随形。面对日益严峻的安全形势，我们唯有思想上高度重视，才有可能控制其实际威胁和破坏程度。

可以看出，这些年整体上的漏洞数量是在持续增加的，2014年更是达到了一个顶峰。从去年的7946个CVE漏洞来看，敏感信息泄露类漏洞数量最多，超过了2000个，这说明黑客对于用户隐私信息的关注。拒绝服务类（DOS）漏洞数量紧跟其后，超过了1500个。通过拒绝服务攻击，可以破坏业务系统的可用性和稳定性。此外，高危的远程代码执行漏洞数量也非常多，攻击者可以利用此类漏洞远程进一步获取系统控制权。

应对安全漏洞

漏洞挖掘有多种方法和技巧。常规的有基于Fuzzing技术等的黑盒测试，基于源代码审计等的白盒测试，基于逆向反编译技术等的灰盒测试，基于动静态程序分析的的漏洞查找，以及基于补丁源码或程序逆向比较的漏洞发现。针对Linux等开源软件的漏洞挖掘可以通过阅读源代码进行，对于网络型闭源程序使用Fuzzing则比较有效。除了有自动化的工具和分析手段辅助，漏洞挖掘人员的多领域经验积累和天马行空的思路也非常重要。

新的漏洞不断被挖掘和曝光，进而被修复，对整个网络信息系统的整体安全性提升是有显著积极作用的。但是随着漏洞数量的不断增加，特别是高危漏洞的层出不穷，对高校信息化团队的压力也越来越大。漏洞防护对高校安全运维人员来说有几个关键点要注意：

1. 对已有老漏洞情况是否已经全面掌握并按威胁等级对应整改处理，而且需要定期进行复查。漏洞普查和消防安全普查一样要经常进行，才能防患于未然。根据我们的实践经验，大部分攻击入侵利用的都不是最新漏洞。

2. 每当新高危漏洞被曝光出来后，能否在第一时间获得漏洞情报成为关键。需要建立顺畅的漏洞信息通报渠道，消息灵通可以保证你和全球绝大多数的攻击者保持在同一条起跑线上，不至于被动挨打还一无所知。

3. 需要快速准确评估爆发的高危漏洞对学校内部网络、服务器以及应用系统的影响程度，这直接决定了后继处理的方向和力度。

4. 确认新高危漏洞对学校网络和信息系统安全产生重大影响之后，就需要第一时间进行修复。即使短期没有完美的补丁方案，也要果断采取限制访问等其他措施，和时间赛跑，晚处理几个小时都有可能引发严重的安全事件。

5. 除了通用型的漏洞利用，对于事件型的漏洞利用需要和第三方进行合作。国内目前较知名的有乌云漏洞报告平台和补天漏洞响应平台，每天都接受大量的高校安全漏洞事件报告，需要引起各高校的重视和关注。

基于以上几点，对每所高校来说，需要有负责安全运维的团队处理本地化的安全漏洞。对于教育行业来说，全国需要有一支专业的安全研究队伍，负责跟踪和研究分析最新的漏洞资讯。当一个高危漏洞刚被曝光时，安全研究人员需要迅速响应，对漏洞进行分析评估，汇集各方面情报，获取漏洞攻击利用的细节并给出应对防护的通用方案。如果评估其对教育行业将产生重大影响，就需要通过邮件列表、内部工作微信群、内部QQ交流群等诸多途径及时发布漏洞预警信息，提醒其他高校关注该漏洞的存在。对于事件型的漏洞，也同样需要通过和国家有关安全监管部门、民间安全机构、商业安全公司的情报共享机制获取高校安全漏洞事件信息。与此同时，为了验证这些漏洞在整个教育网的分布状况，有必要进行全网监测和无害化安全扫描，及时发现存在该漏洞的学校，再有针对性地通知到位。这样才能形成一套完整的漏洞监测，评估，应急和处置体系。

安全漏洞会长期伴随在我们身边，如影随形。面对日益严峻的安全形势，我们唯有思想上高度重视，把全国高校有限的安全力量集中起来，形成一个分工协作的整体，真正了解掌握其发展规律和趋势，才有可能控制其实际威胁和破坏程度。如果掩耳盗铃，等到了身陷窘境的那一天就悔之晚矣。

（作者单位为上海交通大学网络信息中心）