概述

2014年實可謂是中國信息安全元年，這一年里信息與網絡安全領域里發生了很多重大事件。最重要的莫過于2014年2月27日，中央網絡安全和信息化領導小組宣告成立，習近平擔任組長。這個事件標志安全已經上升到國家戰略高度。這也讓每一位中國安全行業的從業者，看到安全產業蓬勃發展的美好前景。

從另一個角度上來說，對于安全行業來說，2014年又是不平靜的一年。2014年高危漏洞頻發。心臟滴血（Heartbleed）漏洞、BASH漏洞、POODLE漏洞等重大安全漏洞的曝光，震動了整個互聯網，甚至有人稱這些漏洞帶給互聯網的是一場滅頂之災。

然而，互聯網安全經過2014年的洗禮，非但沒有“滅亡”，反而更加健康。再晴朗的天空也總可能會有那么一絲陰霾，盡管揮之不去，但仍舊無法遮擋燦爛的陽光。

阿里云安全團隊在2014年底收集和整理了去年一年曝光的安全漏洞，從數千個漏洞中評選出“影響2014年互聯網的十大安全漏洞”，與大家分享。

漏洞總結

1、2014年CVE漏洞分布

　　數據來源：http://www.cvedetails.com/

從上圖來看，2014年曝出的安全漏洞中，敏感信息泄露類漏洞數量最多，超過了2000個，這說明黑客對用戶信息的關注，侵犯了用戶信息的隱私性。拒絕服務類（DoS）漏洞數量緊跟其后，超過了1500個。通過拒絕服務攻擊，可以破壞業務的可用性和穩定性。此外，遠程代碼執行漏洞數量也非常多。

2、CVE漏洞總數趨勢

　　數據來源：http://www.cvedetails.com/

從上圖來看，2014年曝出的安全漏洞，從數量上創造了一個歷史之最。很難說這是一個好或是不好的結果。好的一方面是安全越來越被重視，漏洞不斷挖掘和曝光出來，而漏洞的不斷修復可以很大程度上提升系統的安全性；不好的一方面是安全威脅的形勢越來越嚴峻，隨著漏洞數量的增加，特別對于企業來說，安全維護團隊的壓力越來越大。一個新漏洞被曝光，如果不能在第一時間盡快修復這個漏洞，很可能就會失去與黑客攻防大戰的先機，處于被動的地位。

面對如此嚴峻的漏洞威脅形勢，云計算用戶和云服務提供商的安全團隊必須是一個防護整體，能否在第一時間獲得漏洞的預警，能否在第一時間完成云平臺防護系統有效防御部署，是對這個防護整體的挑戰。

2014年十大安全漏洞

2014年十大安全漏洞如下，排名不分先后：

1、Heartbleed漏洞

　　【CVE編號】

CVE-2014-0160

【漏洞發現時間】

2014年4月份

【漏洞描述】

在OpenSSL 1.0.1 before 1.0.1g中的TLS和DTLS實現中，由于不能正確處理心跳擴展包，導致允許遠程攻擊者通過觸發緩沖區的包獲得進程內存的敏感信息。

【漏洞危害】

導致服務器私鑰以及泄露會話Session、cookie、賬號密碼等敏感信息。

2、Shellshock（BASH）漏洞

　　【CVE編號】

CVE-2014-6271

【漏洞發現時間】

2014年9月

【漏洞描述】

GNU Bash 4.3及之前版本在評估某些構造的環境變量時存在安全漏洞，向環境變量值內的函數定義后添加多余的字符串會觸發此漏洞，攻擊者可利用此漏洞改變或繞過環境限制，以執行shell命令。某些服務和應用允許未經身份驗證的遠程攻擊者提供環境變量以利用此漏洞。此漏洞源于在調用Bash shell之前可以用構造的值創建環境變量。這些變量可以包含代碼，在shell被調用后會被立即執行。

【漏洞危害】

可以直接在Bash支持的Web CGI環境下遠程執行任何命令，另外此漏洞可能會影響到使用ForceCommand功能的OpenSSH sshd、使用mod_cgi或mod_cgid的Apache服務器、DHCP客戶端、其他使用Bash作為解釋器的應用等。

3、SSL 3.0 POODLE漏洞:

　　【CVE編號】

CVE-2014-3566

【漏洞發現時間】

2014年10月

【漏洞描述】

Poodle攻擊的原理，就是黑客故意制造安全協議連接失敗的情況，觸發瀏覽器的降級使用 SSL 3.0，然后使用特殊的手段，從 SSL 3.0 覆蓋的安全連接下提取到一定字節長度的隱私信息。

【漏洞危害】

攻擊者可以利用此漏洞獲取受害者的https請求中的敏感信息，如cookies等信息。

4、Microsoft KerberOS權限提升漏洞:

　　【CVE編號】

CVE-2014-6324

【漏洞發現時間】

2014年12月

【漏洞描述】

Windows Kerberos對kerberos tickets中的PAC(Privilege Attribute Certificate)的驗證流程中存在安全漏洞，低權限的經過認證的遠程攻擊者利用該漏洞可以偽造一個PAC并通過Kerberos KDC(Key Distribution Center)的驗證，攻擊成功使得攻擊者可以提升權限，獲取域管理權限。

【漏洞危害】

利用一個普通的域賬號，提升自己的權限到域控管理員。

[page]

5、BadUSB

　　【CVE編號】

無

【漏洞發現時間】

2014年7月

【漏洞描述】

一個BADUSB設備可以模仿登錄用戶的鍵盤或發出命令，例如exfiltrate文件或安裝惡意軟件。這樣的惡意軟件，反過來，可以感染的計算機連接的其他USB設備控制器芯片。該設備還可以欺騙網卡和更改計算機的DNS設置將流量重定向。

【漏洞危害】

BadUSB最大危險之處在于很難被查覺，哪怕是防病毒軟件也不能發現它。

6、IE通殺代碼執行漏洞

　　【CVE編號】

CVE-2014-6332

【漏洞發現時間】

2014年11月

【漏洞描述】

Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本在實現上存在Windows OLE自動化數組遠程代碼執行漏洞，遠程攻擊者利用此漏洞通過構造的網站執行任意代碼。

【漏洞危害】

對于黑客，他們通過網站掛馬，可以直接批量控制中馬用戶的計算機，不僅可以盜取各類賬號（郵箱、游戲、網絡支付），還可以進行交易劫持等其他利益用途。

7、Microsoft Windows全版本提權漏洞

　　【CVE編號】

CVE-2014-4113

【漏洞發現時間】

2014年10月

【漏洞描述】

如果攻擊者誘使用戶打開特制文檔或訪問包含嵌入 TrueType 字體的不受信任的網站，則其中較為嚴重的漏洞可能允許遠程執行代碼。但是在所有情況下，攻擊者無法強制用戶執行這些操作。相反，攻擊者必須說服用戶這樣做，方法通常是讓用戶單擊電子郵件或 Instant Messenger 消息中的鏈接。

【漏洞危害】

以普通用戶權限運行漏洞利用程序成功后，從普通用戶權限提升到了系統system最高權限。

8、NTP遠程代碼執行以及拒絕服務攻擊漏洞

　　【CVE編號】

CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296

【漏洞發現時間】

2014年12月

【漏洞描述】

網絡時間協議（NTP）功能是用于依靠參考時間源同步計算機的時間。本次同時爆出CVE-2014-9293、CVE-2014-9294、CVE-2014-9295、CVE-2014-9296等4個CVE漏洞。

（1） 其中CVE-2014-9293漏洞詳情為：如果在配置文件ntp.conf中ntpdc沒有指定申請認證密鑰，NTPD會自動生成弱密鑰。遠程攻擊者能夠通過匹配這些限制的IP地址來猜解出生成的密鑰，并有可能用它來發送ntpdc查詢或配置請求。

（2） 其中CVE-2014-9294漏洞詳情為： NTP密鑰生成器，使用一種不安全的算法來生成md5值。這可能允許攻擊者猜到生成的MD5密鑰，然后用于欺騙NTP客戶端或服務器。注：對于使用NTP-注冊機生成的密鑰，建議重新生成MD5密鑰。默認安裝不包含這些鍵值。

（3）其中CVE-2014-9295漏洞詳情為：在NTPD的函數crypto_recv()、ctl_putdata()和configure()中存在多個緩沖區溢出漏洞。遠程攻擊者可以利用這些漏洞發送精心構造的數據包，導致NTPD崩潰，甚至使用NTP用戶權限執行任意代碼。注：crypto_recv（）函數的漏洞利用，需要是在用的非默認配置，而ctl_putdata函數的漏洞利用，在默認情況下，只能通過本地攻擊者被利用。并且configure()函數的漏洞利用需要其他身份驗證利用。

（4）其中CVE-2014-9296漏洞詳情為：在receive()函數中缺少具體返回狀態，從而使遠程攻擊者有繞過NTP認證機制的可能。

【漏洞危害】

造成NTPD拒絕服務攻擊以及造成緩沖區溢出漏洞導致的代碼執行漏洞。

9、Adobe堆緩沖區溢出漏洞

　　【CVE編號】

CVE-2014-0561

【漏洞發現時間】

2014年9月

【漏洞描述】

Adobe Reader以及Adobe Acrobat存在堆溢出漏洞，成功利用后可導致代碼執行。

【漏洞危害】

利用有漏洞的Adobe Reader和Adobe Acrobat攻擊操作系統，獲取相應的權限。

10、Microsoft .NET Framework遠程權限提升漏洞

　　【CVE編號】

CVE-2014-4149

【漏洞發現時間】

2014年11月

【漏洞描述】

Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2版本沒有正確執行TypeFilterLevel檢查，遠程攻擊者通過向.NET Remoting端點發送構造的數據，利用此漏洞可執行任意代碼。

【漏洞危害】

利用有漏洞的.NET Framework獲取服務器權限。

[page]

云計算安全防護的思考

在上文中，我們提到了面對漏洞威脅和黑客的攻擊時，云計算用戶和云服務提供商的安全團隊是一個整體。這是一場關乎生死的大戰，也是一場與時間的賽跑。從時間角度上講，有兩個關鍵的因素：什么時候獲得漏洞的資訊以及什么時候完成漏洞的修復。

首先，當一個漏洞被曝光出來時，能否在第一時間獲得漏洞的資訊是一個關鍵。在第一時間獲取漏洞的情報可以保證和絕大多數的攻擊者至少保持在同一個起跑線上。越晚獲得漏洞的信息就意味著起跑時間的延后。第二，即便在第一時間獲取了漏洞信息，能否及時修復也是成敗的關鍵。

對于云計算服務提供商來說，安全團隊不僅是一個運行和維護團隊，還需要有專業的安全研究小組，負責跟蹤和獲取最新的漏洞情報。當一個漏洞被曝光出來時，安全研究人員會迅速對漏洞進行分析，獲取漏洞攻擊的手段并研究防護的策略。當確認漏洞的攻擊手段后，用戶運營團隊需要通過微博、論壇、官方網站等諸多手段發布漏洞預警信息，提醒云計算用戶關注該漏洞的存在。與此同時，為了驗證漏洞在云計算平臺上的存在和分布狀況，還需要對全體云計算用戶進行全網掃描，發現存在該漏洞的用戶。

依照阿里云云盾的運營經驗，接下來的處理可以分成兩個場景來進行。

第一個場景，云端防護。如果漏洞防護可以通過云平臺的Web防護系統實現攻擊行為的阻斷，那么運營團隊就必須要在第一時間更新Web防護系統的防護規則，實現漏洞在云平臺層面的防護。在這個場景下，即便用戶系統中存在該漏洞，但是由于云端防護系統已經可以防護利用該漏洞的攻擊行為，用戶系統可以仍得到有效防護。必須要注意的是，安全團隊還需要通過監控檢驗防護的效果，確保對該漏洞利用行為的阻斷。

第二個場景，用戶端防護。如果漏洞的防護必須需要用戶通過升級補丁才可以實現，則用戶運營團隊需要通過電子郵件和短信的方式對存在該漏洞的用戶進行一對一的漏洞預警信息推送。接收到信息的用戶可以依據預警信息中的指導完成漏洞的修復。對于后一種情況，為了保證漏洞的及時有效修復，運營團隊還要在預警信息發布后的一段時間內再次進行漏洞的掃描，確認漏洞已被有效修復。

因此，不管對于哪一種場景，對于一個提供云計算安全防護的平臺來說，漏洞的防護都必須是一個快速和閉環的過程。