新闻
【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架
在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网络设备，甚至
不久之后就出现攻击行动，这种态势很可能会在2021年延续
https://www.ithome.com.tw/news/142112
新闻
【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架
在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网络设备，甚至
不久之后就出现攻击行动，这种态势很可能会在2021年延续
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
根据美国国土安全部2020年发布的资安通告，我们整理出10个最常出现的漏洞，Junos OS
与PAN-OS的漏洞公告次数虽然仅有1次，但Juniper设备于电信业者的市占极高，Palo Alt
o亦是防火墙领导品牌而列入；微软DNS服务漏洞CVE-2020-1350亦仅有一次通告，是以发
出紧急指令的型式，要求所有联邦机关限期修补，故亦列入名单。
锁定漏洞攻击的现象，曾在2018年就有数家资安厂商提出警告，指出利用已知漏洞的攻击
事件会日益泛滥。因为，对于骇客而言，这么做可以省下自己找寻弱点的工夫。回顾2020
年，我们看见有许多大型IT业者的系统，出现CVSS第3版风险层级接近满分（10分）的漏
洞，而这样的情况有多严重？从美国国土安全部一年之内发出3次紧急指令（Emergency D
irective），这种史无前例的现象，可以看出端倪。
该单位于2020年发布的命令内容，有2个都与危险程度达满分的漏洞有关，包含了DNS伺服
器漏洞SIGRed（CVE-2020-1350），以及与AD权限扩张有关的Zerologon（CVE-2020-1472
）。这样的态势，也使得他们在2020年发出紧急指令数量，创下有史以来最多的一年。
新闻
【2021资安大预测】趋势2：漏洞攻击｜CVSS近满分漏洞频传，企业难以招架
在2020年，不断有风险程度近10分的漏洞遭到揭露，遍及各种应用系统与网络设备，甚至
不久之后就出现攻击行动，这种态势很可能会在2021年延续
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
根据美国国土安全部2020年发布的资安通告，我们整理出10个最常出现的漏洞，Junos OS
与PAN-OS的漏洞公告次数虽然仅有1次，但Juniper设备于电信业者的市占极高，Palo Alt
o亦是防火墙领导品牌而列入；微软DNS服务漏洞CVE-2020-1350亦仅有一次通告，是以发
出紧急指令的型式，要求所有联邦机关限期修补，故亦列入名单。
锁定漏洞攻击的现象，曾在2018年就有数家资安厂商提出警告，指出利用已知漏洞的攻击
事件会日益泛滥。因为，对于骇客而言，这么做可以省下自己找寻弱点的工夫。回顾2020
年，我们看见有许多大型IT业者的系统，出现CVSS第3版风险层级接近满分（10分）的漏
洞，而这样的情况有多严重？从美国国土安全部一年之内发出3次紧急指令（Emergency D
irective），这种史无前例的现象，可以看出端倪。
该单位于2020年发布的命令内容，有2个都与危险程度达满分的漏洞有关，包含了DNS伺服
器漏洞SIGRed（CVE-2020-1350），以及与AD权限扩张有关的Zerologon（CVE-2020-1472
）。这样的态势，也使得他们在2020年发出紧急指令数量，创下有史以来最多的一年。
大型IT厂商网通与资安产品重大漏洞频传，已出现攻击事件
除了上述的微软Windows作业系统漏洞，还有许多企业会运用的网络设备，也在2020年被
发现这种CVSS风险层级接近满分的漏洞，这些包含了F5 BIG-IP设备的RCE漏洞CVE-2020-5
902、Palo Alto Networks防火墙作业系统（PAN-OS）漏洞CVE-2020-2021，以及2019年底
被发现、Citrix于2020年1月修补的CVE-2019-19781漏洞等。而这些漏洞也出现被骇客滥
用的案例，例如，2020年8月大型游轮业者Carnival遭到勒索软件攻击，就有资安业者点
名该公司被入侵的管道，就是没有修补CVE-2019-19781的Citrix网络设备。
这种企业应用系统出现重大漏洞的情况，还有SAP Netweaver AS Java的CVE-2020-6287（
RECON），以及出现在基础架构自动化管理系统Salt的CVE-2020-16846与CVE-2020-25592
，还有HPE分别针对容器软件Ezmeral、BlueData EPIC，以及储存装置3PAR StoreServ，
修补CVSS风险评分接近10分的重大漏洞，也就是CVE-2020-7196与CVE-2020-7197。
而在工作站电脑的部分，Dell旗下的精简型电脑产品线Wyse，存在容易遭到滥用的CVE-20
20-29491与CVE-2020-29492。提供端点防护的趋势企业防毒OfficeScan、Apex One，也被
揭露存在CVE-2020-8470、CVE-2020-8598，以及CVE-2020-8599等满分漏洞，甚至ZDNet报
导指出，2019年日本重工业三菱电机遭骇，骇客疑似就滥用该厂牌防毒软件的部分重大漏
洞而得逞。
这种重大漏洞连接于2020年被揭露的现象，也遍及许多领域的解决方案，尤其是与远距办
公有关的系统，更是受到关注。像是在VMware Workspace One数位工作平台中，身分管理
模组的漏洞CVE-2020-4006，在公布一个月后，就传出被用来发动攻击的情况。
再者，视讯会议系统和协作平台也是漏洞频传，不只有因中国人创业与系统设计瑕疵接连
引发各界关注的Zoom，还有思科的WebEx、Jabber，以及微软Teams等，能够藉著传送恶意
讯息发动攻击的漏洞，也是时有所闻。
开机程式与通讯协定漏洞影响层面甚广，恐波及数亿台装置
有些在2020年被发现的漏洞，不仅危害程度非常严重，同时影响范围还扩及各式的系统。
例如，开源开机程式Grub2存在的漏洞BootHole（CVE-2020-10713），影响所有执行安全
开机的个人电脑、服务器，以及物联网装置等，不仅各大版本Linux业者相继修补，就连
微软也发出安全公告，并提供安全开机DBX黑名单更新档案。
而这样的情况，也出现在协定层面的漏洞，涉及的范围同样相当广泛。资安研究人员在20
20年揭露此种型态的漏洞，包含了存在于TCP/IP网络协定程式库的Ripple20，与4项TCP/I
P堆叠元件有关的Amnesia:33；而出现在网域名称系统（DNS）的漏洞，包含了可被用于快
取污染（Cache Poisoning）攻击的SAD DNS，以及查询递回漏洞NXNSAttack等，这种型态
的漏洞发现，研究人员粗估影响10亿台装置。
不只是有线的网络通讯协定存在严重漏洞，无线通讯也存在类似的情况，例如，存在于Wi
-Fi芯片的Kr00k（CVE-2019-15126），还有出现在蓝牙协定的BLURtooth（CVE-2020-1580
2）、SweynTooth等。由于此类漏洞牵涉范围甚广，需要许多厂商修补自家装置才能缓解
，后续引发的效应为何？在新的一年也相当值得观察。