TENABLE 2020 年 威胁形势回顾 安全专业人员应对漏洞的年度指南 目录 前言 .................................................................................................................................................... 3 内容提要 ............................................................................................................................................ 4 引言 .................................................................................................................................................... 7 第一章：2020 年漏洞形势概述 ...................................................................................................... 8 值得注意的漏洞：名称里有什么？.......................................................................... 10 零日漏洞 .................................................................................................................... 11 漏洞季节 .................................................................................................................... 12 新冠疫情和运程办公 ................................................................................................ 13 第二章：2020 年威胁形势概述 ...................................................................................................... 17 勒索软件仍然是医疗保健行业外泄的主要根源 ..................................................... 18 美国政府发布关于虚拟专用网络漏洞和外国威胁制造者的警报 .......................... 19 第三章：详细探讨 2020 年的关键漏洞 ......................................................................................... 21 Apache、Apple、Cisco、Citrix、F5 Networks、Fortinet、Google、Microsoft、 Mozilla、Open Connectivity Foundation、操作系统（Windows 和 Linux）、 Oracle、 Palo Alto Networks、Pulse Connect、SAP、Sophos、TCP/IP Libraries、Trend Micro、vBulletin、VMWare 结语 .................................................................................................................................................... 41 TENABLE 2020 年威胁形势回顾 2 前言 回顾过去，展望未来 如果说在 2020 年动荡的全球形势中有什么闪光点，那也许就是人们之间的联系更紧密了。由于许多企业采取在家远程办公模式来应 对新冠疫情，我们的工作和家庭生活有时会混乱地交错在一起，但也因为如此，人与人之间也更能够体谅彼此。 2020 年的种种事件也清楚表明，我们无法离开支撑现代社会的基础设施和供应链（农业、食品和饮料制造、医药开发），在危机时 期，这点尤为明显。而伴随着 12 月中旬发生的 SolarWinds 外泄事件，软件供应链的安全问题再度引发了公众关注。 截至本报告定稿之日（2021 年 1 月 5 日），业界仍未结束对 SolarWinds 外泄事件全部后果的调查研究，但“抵御入侵的根基在于深 度防御”这点已经成为不争的事实。基础设施中的每台设备和每项资产都有可能成为攻击者利用的对象，而最大限度减少这些对象 具备的特权及其攻击面的访问点，实属一场“持久战”。尽管鲜有企业会有足够的资金来防止如 SolarWinds 般精密的外泄事件， 但周全完善的网络安全机制实践有利于阻止外泄事件所造成的任何横向转移。我们将持续关注此次事件的相关进展，并会于 Tenable 博客发布相关消息。 如果说 2020 年底仍处于找寻信息安全管理明确方向的阶段，那么在 2021 年，选择基于风险的方式进行漏洞管理无疑是明智之举。 随着攻击面不断扩大，漏洞管理在现代网络安全战略中的核心作用也愈发凸显。未修补的漏洞使敏感数据和重要业务系统暴露于极 大的风险之中，使勒索软件攻击者有机可乘，有利可图。现代漏洞管理需要识别非必要的服务和软件、限制第三方代码、实施安全 的软件开发生命周期，并在整个攻击面中部署精准的资产检测，包括信息技术、运营技术和物联网（无论部署于云端或本地）。 在漏洞管理周期曲线方面，Tenable Research 从未停下钻研的脚步，力求走在行业前列。我们的安全响应团队 (SRT) 会追踪威胁和漏 洞情报，确保插件团队能够迅速及时覆盖我们的所有产品。安全响应团队还致力于挖掘技术细节和测试概念验证攻击，以确保客户 充分了解风险。 弥补 Cyber Exposure 缺口需要透彻掌握威胁形势。借由这种理念，Tenable Research 可以为客户和整个行业提供工具和情报，并普及 相关认知，从而有效降低风险。为了进一步实现这些目标，安全响应团队汇编了 2020 年威胁形势回顾报告，从宏观角度审视了影响 这一年的趋势，并提供了关键漏洞的详细信息。报告中提供的洞察和数据旨在帮助网络安全防御者从过去的经历中学习经验、吸取 教训，以制定保护重要基础设施、供应链和数据，同时又尊重隐私的网络安全战略。 Renaud Deraison Tenable 联合创始人兼首席技术官 TENABLE 2020 年威胁形势回顾 3 主要统计资料 内容提要 世界各地的网络安全专业人员每天都会面临新的漏洞，这些漏洞都有可能使其企业陷入风险 之中。面对如此严峻的形势，尤其是在 IT、运营技术 (OT) 和物联网 (IoT) 设备攻击面急剧扩 张之时，对层出不穷的威胁进行优先级分析和修复成为了安全专业人员亟待解决的问题，而 这种紧张的节奏几乎使其无暇复盘自己的工作。修复措施在部署到使用环境之前，需要以基 于风险的方法为基础，并要清楚了解补丁将给业务运营带来的影响。对于任何规模的企业来 说，这都不是一项轻而易举的工作。对于那些具有大型多样化环境的企业来说，这项工作更 是会带来诸多挑战。 18358 2020 年新公布 的 CVE 数 730 由于时间宝贵，能够做到停下脚步，总结过去的企业实属鲜有。然而，在准备应对 2021 年即 将到来的全新网络安全挑战时，我们认为对过去进行梳理可以提供宝贵的经验教训和重要的 背景，帮助网络安全专业人员找出实践中的缺口并完善战略，着眼于改进自身基于风险的漏 洞管理方法。 确定的公共外泄事 件数* 鉴于上述缘由，Tenable 的安全响应团队编撰了 2020 年威胁形势回顾 (TLR) 报告。2020 年威 胁形势回顾报告概述了全年被披露或利用的关键漏洞（截至 2020 年 12 月 31 日）。在本报告 中，我们会探讨： 22B 泄露的记录数* • 从网络安全防御者的视角审视新冠疫情的影响； 35%+ • 在夏季几个月中，报告的严重漏洞数量显著增加； • 美国政府发出的一系列未修复漏洞危害警报的背后含义； 浏览器型零日漏洞 占比 • 勒索软件和外泄趋势； • 影响企业软件的关键漏洞详情。 18 勒索软件团伙运营 泄密网站数 2020 年五大漏洞 1 ZEROLOGON CVE-2020-1472 2 3 4 5 CITRIX ADC/ GATEWAY/SDWAN WAN-OP PULSE CONNECT SECURE SSL VPN FORTINET FORTIGATE SSL VPN F5 BIG-IP CVE-2019-19781 CVE-2019-11510 CVE-2018-13379 CVE-2020-5902 TENABLE 2020 年威胁形势回顾 * 截至 2020 年 10 月 30 日 4 九大要点 年度 CVE 数量仍处于上涨趋势 2015 年到 2020 年间，CVE 报告数的平均年度上涨率为 36.6%。2020 年 CVE 报告数为 18358，较 2019 年（报告 数为 17305）上涨 6%，而对比 2015 年（报告数为 6487），上涨高达 183%。过去三年里，我们发现每年报告的 CVE 数量均超过 16000，由此可见，漏洞披露已成为新常态。对于一般的安全专业人员来说，对这些漏洞进行 优先级分析，确定哪些值得多加关注比以往任何时候都更具挑战性，而且漏洞的来源更是变化多端。 看待事物切忌只看表面 “头条”漏洞往往最能吸引媒体和商业领袖的关注，即使对企业的威胁很小，也会给安全专业人员施加压 力，要求他们做出响应。我们对 2020 年广为人知的漏洞的回顾表明，并不是每个重要漏洞都有名称和标识。 相反，并不是每个有名称和标识的漏洞都是重要漏洞。在权衡漏洞的严重性时，必须考虑其他因素，包括是 否存在概念验证 (PoC) 利用代码和是否容易遭到利用。