漏洞，即计算机系统的弱点，随着近年来信息技术系统的广泛应用，网络的广域连接，针对漏洞的攻击也越来越多，利用漏洞的病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势。产生了大范围的危害，由此给企业造成了重大经济损失。

一. 漏洞数量增长史无前例

2017年各大漏洞库公布的漏洞数量较以往呈明显激增态势。

 # 国家信息安全漏洞库(CNNVD)：

CNNVD公布的漏洞数量为14,748个，2016年全年的漏洞总数为8,753个，预期年增长率至少上升70%。而CNNVD自正式统计漏洞数量以来，从2010年至2016年，增长率最高才为20%。

 # 美国国家漏洞库(NVD)：

NVD公布的漏洞数量为14,277个，2016年全年的漏洞总数为6,515个，预期年增长率至少上升170%。

 # 公共漏洞披露平台(CVE)：

CVE公布的漏洞数量为17,760个，2016年全年的漏洞总数为10,703个，预期年增长率约为70%。

（注：以上2017年的漏洞数量均为截止到12月19日的统计数字）

漏洞激增的部分原因，是因为各大漏洞公告平台在各自的数据库中开始囊括更多的漏洞。另一个重要原因则是云计算、移动互联网、物联网设备的普及，各种网络应用的爆发，以及更多的人员进入安全领域并开始关注漏洞。

此外值得注意的是，美国的国家漏洞数据库(NVD)，漏洞报告从提交到收录进数据库的平均时间是33天，而我国的国家漏洞数据库(CNNVD)是13天。也就是说，在漏洞细节提交后，订阅了NVD的用户要平均等33天才能收到警告，而在中国订阅了CNNVD的用户，平均13天内即可收到警报，2倍于NVD的速度。

二. 漏洞可能出现在各个层面

从硬件到软件，再到虚拟化、云计算，从疏忽大意形成漏洞，到主动防护反而被黑，从终极破解方法到原始遗留问题，漏洞可能在各个环节，因各种原因，以及各种面目出现。

2017年较为特殊的漏洞事件

1月：

卡巴斯基杀毒软件证书密钥出现漏洞，攻击者可通过碰撞轻易伪造证书，实现中间人劫持。

2月：

“地址空间布局随机化”(ASLR)技术被破解，包括英特尔、AMD、三星、Nvidia、微软、苹果、谷歌和Mozilla等芯片制造商和软件公司均受影响。

3月：

Cisco IOS&IOS XE Software CMP 出现远程代码执行漏洞(CVE-2017-3881)，允许未授权访问，远程攻击者可以重启设备、执行代码，提升权限。

4月：

苹果设备WiFi芯片出现任意代码执行缓冲区溢出漏洞，该漏洞影响 iPhone 5 及以上版本，iPad 4代及更新机型，还有 iPod touch 6代及更新版本。

5月：

西班牙电信德国子公司证实，黑客利用SS7漏洞窃取验证码，然后将客户账户上的资金洗劫一空。这是第一起SS7漏洞公开证实的攻击；

英特尔AMT、ISM、SBT固件6到11.6版出现漏洞(CVE-2017-5689)，攻击者可获得控制权限。

7月：

博通WiFi芯片固件出现“堆溢出”漏洞(Broadpwn)，约10亿台苹果和安卓受此影响。

8月：

车载信息控制单元中的英飞凌2G基带芯片出现漏洞，福特、英菲尼迪、日产聆风、宝马等车型均受影响；

英特尔CPU安全控制机制ME上运行的固件出现漏洞，可被利用成为后门。

9月：

蓝牙通信协议出现8个漏洞(Blueborne)，理论上可影响全球所有使用蓝牙的设备。

10月：

奥地利、美国和澳大利亚三国研究人员研究出Rowhammer终极攻击方法，可攻破目前所有可用防御措施，且可以远程进行，包括云端主机；

无线安全协议WPA2出现漏洞KRACK（密钥重装攻击），理论上可以对任何支持Wi-Fi的设备产生影响；

德国半导体制造商英飞凌的某些芯片，可信平台模块出现漏洞(CVE-2017-15361)，该漏洞允许知晓RSA公钥的攻击者获取私钥；

国际海事卫星公司的 AmosConnect 8 网络平台被曝两个漏洞，攻击者可以获得远程访问特权，接管整个平台。该平台用于监视轮船IT和导航系统，以及收发消息、邮件，浏览网页等。

11月：

研究人员揭示微软Office公式编辑器漏洞(CVE-2017-11882)，攻击者可完全控制系统，该漏洞已存在17年；

苹果macOS 10.13出现高危漏洞，物理接触设备无需口令便可获取管理员权限（以root用户登录）。

12月：

包括汇丰银行、英国西敏寺银行、Co-op银行、美国银行等移动应用，出现由于“证书锁定”安全机制带来的严重缺陷，数百万用户面临中间人攻击的风险；

传输层安全协议(TLS)19年前的ROBOT漏洞再现，攻击成功后，攻击者可被动监视并记录流量，发动中间人攻击。

漏洞发现带来的几点启示：

√ 安全产品不一定安全。无论是杀毒软件还是防火墙，抑或是安全机制，用于安全防御的事物本身也能成为漏洞的藏身之处。

 √ 底层漏洞防不胜防。芯片或固件一旦出现漏洞，卸载软件、打补丁、重装操作系统均无法彻底解决问题，而更新固件或是更换芯片意味着巨大的困难。

√ 通信协议或标准漏洞影响面巨大。动辄影响上亿的设备，而协议的更新换代则需要度过漫长的时间周期。

√ 数字化应用的爆发带来漏洞的爆发。无论是移动设备还是物联网设备，无论是虚拟化还是云计算与开源社区，在今年都呈飞速上升与扩展的趋势，因此漏洞的爆发应在意料之中。

√ 长老级漏洞与难打的补丁现象固疾难除。出于各种原因，许多补丁事隔很长时间才能得到修复，甚至是永远不会修复。而只有修复之后，才谈得上更新。最后，对老旧系统的更新可能才是真正的挑战。

√ 零日漏洞与开源。不谈国家强制力量，零日漏洞的一大根源是开源代码的不断扩散。每年1110亿行代码的扩张量，越来越多的开发者加入开源模块、组件、库的复用队伍。开源安全责任重大，与社区中的每一个人都有关。

3. 漏洞披露问题的两难

2017年，从发现Facebook任意图片删除漏洞拿到1万美金，到美国国防部“入侵空军”二期众测项目发放的26万美元，再到漏洞交易平台Zerodium的50万、100万、150万美元的漏洞征集奖金，一个问题浮出水面，漏洞到底值多少钱？

这个问题非常复杂，涉及到漏洞利用的时间周期、漏洞所在系统本身的价值、漏洞可能带来的危害程度、影响范围，漏洞防范的难易度等众多因素。但无疑，漏洞信息的机密程度是漏洞价值的最关键因素。知道的人少（即零日漏洞或N日漏洞）就越值钱，知道的人越多就越低廉。因此，才会有完全披露和负责任披露两种模式的出现。二者之间各有利有弊，是一个平衡取舍的问题。

11月15日，美国白宫发布《漏洞平衡政策》，十大部门形成审查委员会，根据漏洞的波及范围、利用难度、可导致的破坏，以及漏洞修复难度等，衡量漏洞的威胁程度，结合政府如何利用漏洞，以及利用漏洞的事实被公开将面临的政治风险，来审查漏洞，最终决定公开日期或保密。

漏洞审查委员会成员：

国防部（含NSA）

中央情报局

司法部（含FBI）

国务院国土安全部

国家情报总监办公室

财务部

能源部

商务部

管理与预算办公室

2017年的NVD漏洞总数约1.5万个，按照CVSS V3 的评级方法，仅高危漏洞就3千多个。况且，超过四分之三的漏洞在NVD发布之前就已经在新闻站点、博客、社交媒体，以及常人无法触及的暗网、犯罪论坛公布。因此该审查委员会，将特别针对零日漏洞做出披露决策。 

不管是对比前几年，还是漏洞库内部的对比，2017年的漏洞呈现出越来越严峻的形势，越来越多的漏洞出现在网络系统之间，而移动平台的系统逐渐成为多发漏洞的地方，并且透过漏洞，攻击者瞄准着个人信息。对于漏洞整体的攻击体系正在不断成型，展望下班了年，这种大趋势可能还将继续下去，信息安全行业人员，运维人员势必迎来更多的挑战。我们相信，只要正确的认识漏洞，了解攻击者利用漏洞的方式，及时应对，漏洞并不足为惧。

声明：文章来自网络转载，若无意中有侵犯您权益的信息，请联系我们，我们会在第一时间删除！