殿上欢,欢乐颂第二季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安全產(chǎn)品漏洞這個事，瞞不住了

設(shè)想這樣一個場景：攻防演練期間，作為防守方的某企業(yè)已竭盡所能部署了安全防御體系，但最終仍然被打穿。事后調(diào)查發(fā)現(xiàn)，竟是本該起到關(guān)鍵防護作用的某個安全產(chǎn)品存在0 Day，被攻擊方成功利用。

這正所謂“安全產(chǎn)品不安全”，和其他軟硬件產(chǎn)品一樣，網(wǎng)絡(luò)安全類產(chǎn)品也同樣容易暗藏大大小小的漏洞。有安全研究人員稱，防病毒軟件是潛在攻擊者的理想目標，如果為防病毒軟件編寫漏洞利用程序，可能僅需一次就能獲得最高權(quán)限。

雖然這些漏洞或缺陷絕大數(shù)是無意而為之，但一些波及面較廣以及頻繁出現(xiàn)的嚴重級別漏洞仍然會讓廣大用戶設(shè)備不時暴露在風(fēng)險之中，而一些長時間“潛伏”未修補的漏洞所帶來的影響更加難以估量。此外，某些打著“安全軟件”旗號的信息竊取惡意軟件也在時刻緊盯著那些容易上當受騙的用戶。

如果說這些真真假假的“安全產(chǎn)品”本質(zhì)上截然不同，但它們露出的這些“馬腳“所帶來的影響或損失卻著實令人頭疼。

安全產(chǎn)品漏洞遍及主流廠商

漏洞不會看人下菜，主流安全廠商產(chǎn)品同樣不能幸免，且針對這些產(chǎn)品的漏洞利用也由來已久。早在2008年Black Hat黑客大會上，就已出現(xiàn)利用不同方式攻擊防病毒軟件的議題；2016年，著名安全公司賽門鐵克就被曝出眾多產(chǎn)品線包含大量漏洞，數(shù)百萬消費者、小型企業(yè)以及大型機構(gòu)面臨自我復(fù)制攻擊。直到今日，頭部安全產(chǎn)品的漏洞仍在不時曝出“驚雷”，困擾廣大用戶。

多款安全產(chǎn)品漏洞可刪除用戶文件

2022年底，網(wǎng)絡(luò)安全公司SafeBreach的安全研究人員展示了如何利用Microsoft Defender等殺毒軟件漏洞永久性刪除用戶文件的操作。根據(jù)發(fā)布的PoC，顯示利用一種名為TOCTOU的漏洞，在殺毒軟件檢測到有惡意文件時導(dǎo)入備用路徑，會導(dǎo)致在刪除惡意文件的同時也會刪除用戶的正常文件甚至是系統(tǒng)文件，造成電腦無法正常運行。

研究人員共測試了11款殺毒軟件，除了微軟，SentinelOne、Avast、AVG、趨勢科技等廠商產(chǎn)品均受此漏洞影響。

微軟將此漏洞追蹤為CVE-2022-37971，目前各廠商均以在后續(xù)軟件版本中修復(fù)了這一漏洞。但該研究充分暴露了這些安全產(chǎn)品在一些通用邏輯上存在的缺陷，影響受眾可謂十分廣泛。

飽受漏洞困擾的Apex One

Apex One是趨勢科技旗下的一款端點安全平臺，但這款受眾廣泛的安全產(chǎn)品正飽受大量高危漏洞之苦，僅今年以來就已公開披露達嚴重級別（CVSS評分7分以上）的漏洞13個，其中包括本地權(quán)限提升漏洞、遠程代碼執(zhí)行漏洞、文件上傳漏洞等類型。

今年5月，Apex One曝出了一個CVSS評分達到9.8分、編號為CVE-2023-32557的關(guān)鍵遠程代碼執(zhí)行漏洞，能允許未經(jīng)身份驗證的攻擊者將任意文件上傳到管理服務(wù)器，導(dǎo)致使用系統(tǒng)權(quán)限遠程執(zhí)行代碼。

長期漏洞未得到修補

除了一些不斷新發(fā)現(xiàn)的漏洞，一些長時間潛藏的漏洞也是這些安全產(chǎn)品不得不面對的問題。

2022年5月，SentinelLabs 發(fā)布報告，揭露了知名防病毒產(chǎn)品Avast 和 AVG中存在了近10年的兩個漏洞，讓數(shù)百萬設(shè)備面臨安全風(fēng)險。

這兩個漏洞編號為 CVE-2022-26522 和 CVE-2022-26523，存在于名為 aswArPot.sys 的反 rootkit 內(nèi)核驅(qū)動程序中，而該驅(qū)動程序自2012 年 6 月就引入了 Avast 12.1 版本中，其根源來自內(nèi)核驅(qū)動程序中的套接字連接處理程序，可允許攻擊者提升權(quán)限并禁用防病毒軟件，甚至還會造成系統(tǒng)藍屏、死機。此外，這些漏洞可用作瀏覽器攻擊的第二階段，或者被用于執(zhí)行沙箱逃逸，從而造成更嚴重的后果。

SentinelLabs發(fā)現(xiàn)的漏洞

無獨有偶，今年4月，微軟Windows Defender也姍姍來遲地修補了一個長達5年的漏洞，該漏洞在監(jiān)測到用戶使用火狐瀏覽器時會啟用 Antimalware Service Executable 特性，導(dǎo)致 CPU 占用明顯升高，進而導(dǎo)致系統(tǒng)容易出現(xiàn)響應(yīng)緩慢、卡頓等情況。該漏洞最早于 2018 年 5 月就被發(fā)現(xiàn)，但因為長時間未得到修補，導(dǎo)致Win10、Win11系統(tǒng)均受到影響。

惡意安全產(chǎn)品：掛羊頭賣狗肉

在用戶深知安全軟件的重要性的同時，網(wǎng)絡(luò)不法分子同樣也將其視作蛋糕，以虛假的安全問題誘導(dǎo)用戶下載所謂的安全軟件。這一招雖然對受過安全培訓(xùn)的員工而言不太管用，但對于普通消費者而言往往真假難辨。

當用戶瀏覽網(wǎng)頁時，有時會“偶遇”彈窗對用戶發(fā)出警告，稱設(shè)備可能感染了各種在線威脅。通常，這類彈窗包含一個網(wǎng)絡(luò)釣魚鏈接，用于下載可解決這些威脅的“安全軟件”，或?qū)⒂脩糁囟ㄏ虻戒N售假冒防病毒應(yīng)用程序的網(wǎng)站。一旦用戶點擊下載或購買，不法分子就能趁機搜集用戶信息，甚至竊取各類賬號等敏感數(shù)據(jù)。

2021年3月，電子郵件安全公司 Vade Secure曾揭露一系列冒充微軟、諾頓、邁克菲等知名安全廠商的賬單郵件，誘導(dǎo)用戶以300多美元的價格訂閱相關(guān)安全服務(wù)。當用戶根據(jù)郵件中的電話聯(lián)系對方并根據(jù)給到的網(wǎng)址進行購買后，會說服用戶以遠程訪問的方式對系統(tǒng)進行檢測，期間會檢測出大量虛假威脅，并以此為由安裝能夠長期遠程操控用戶設(shè)備的軟件，如部署惡意軟件或?qū)⒃O(shè)備納入不法分子的垃圾郵件僵尸網(wǎng)絡(luò)。

仿冒安全廠商諾頓技術(shù)支持的虛假郵件

這類掛羊頭賣狗肉的現(xiàn)象在國內(nèi)也已經(jīng)屢見不鮮。2021年，央視3.15晚會就重點揭露了一批所謂的手機清理軟件存在誘導(dǎo)下載、過度收集個人信息等亂象。這些清理軟件雖然以手機清理軟件命名，實則收集用戶信息。它會自動彈出“安全提示”，以內(nèi)存不足、有病毒需要查殺等方式誘導(dǎo)用戶下載，之后便在后臺大量竊取用戶信息。

中國電子技術(shù)標準化研究院網(wǎng)安中心的專家在一款小說閱讀軟件里發(fā)現(xiàn)了端倪，在正常閱讀過程中忽然出現(xiàn)了“安全清理”提示，工作人員點擊后，下載安裝了一款叫“內(nèi)存優(yōu)化大師”的App，自動清理過程中又繼續(xù)蹦出“清理手機緩存”提醒，點擊后，手機又下載安裝了“超強清理大師”。不斷“提醒、下載、清理”，同樣路徑接力重復(fù)，手機上接著又安裝了“智能清理大師”和“手機管家PRO”。然而測試人員對“手機管家PRO”進行測試后發(fā)現(xiàn)，這款A(yù)PP表面上看起來是在清理手機垃圾，背地里實則在不斷偷偷大量獲取手機里的信息。

除了上述三類風(fēng)險，近年來頻繁出現(xiàn)的一些軟件后門讓不少安全產(chǎn)品成了“睜眼瞎”，不僅可以搜集用戶信息、進行遠程控制，還能有多種手法躲避查殺，且一些后門甚至就藏在受眾廣泛或者國際通用的軟件及標準之中。比如近期曝出的TETRA無線電標準后門能夠暴露敏感數(shù)據(jù)，而我國早在2000 年就開始采用 TETRA 標準。

可見，如果一些基于通用標準或技術(shù)的產(chǎn)品存在風(fēng)險，而安全產(chǎn)品又不能有效識別、防御，輕則讓用戶蒙受損失，重則讓企事業(yè)機關(guān)單位產(chǎn)生重大數(shù)據(jù)泄露事故，進而在國際形勢、網(wǎng)絡(luò)空間格局越發(fā)復(fù)雜的當下，讓國家在大國之間的競爭與對抗中失勢。把好安全關(guān)，提升安全產(chǎn)品可靠性成為當務(wù)之急。

做好信創(chuàng)，從源頭把好安全關(guān)

既然天底下沒有堪稱完美的產(chǎn)品，缺陷無法徹底避免，但我們?nèi)阅懿扇〈胧┍M力將其產(chǎn)生的威脅最小化。

首先，對于一般用戶而言，盡量從官方或其他正規(guī)應(yīng)用市場下載安全防御類軟件，切勿輕信彈窗廣告，或者是經(jīng)過來歷不明的鏈接等渠道下載本身就包含惡意企圖的虛假仿冒類安全軟件。

但最根本的，是要對安全產(chǎn)品知根知底，它是否基于外國的技術(shù)或產(chǎn)品，相關(guān)供應(yīng)鏈是否可靠，是否容易被黑客利用，或者被境外APT組織植入后門。隨著今年7月1日起新修訂的《中華人民共和國反間諜法》正式實施，對間諜行為的內(nèi)涵和外延進行了完善，將“針對國家機關(guān)、涉密單位或者關(guān)鍵信息基礎(chǔ)設(shè)施等的網(wǎng)絡(luò)攻擊、侵入、干擾、控制、破壞等行為”明確為間諜行為。在近期復(fù)雜多變的國際局勢、地緣政治沖突導(dǎo)致多地摩擦加劇、以美國為首的一些國家對華實行技術(shù)制裁和打壓的情況下，網(wǎng)絡(luò)安全相關(guān)產(chǎn)品作為守護者，如果不能徹底掌握在自己手中，將很容易成為引狼入室的突破口。

從本質(zhì)上，要想樹牢安全防線，做到更加優(yōu)質(zhì)、合規(guī)且富有競爭力的安全產(chǎn)品，需要實現(xiàn)從底層開始的國產(chǎn)化。在今年年初由國務(wù)院印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》中就曾提到，一是要構(gòu)筑自立自強的數(shù)字技術(shù)創(chuàng)新體系，二是筑牢可信可控的數(shù)字安全屏障，二者缺一不可，相輔相成，可信可控的數(shù)字安全屏障是自立自強的數(shù)字技術(shù)的必然結(jié)果，而其中的底座則需要落實到中國信創(chuàng)產(chǎn)業(yè)的發(fā)展。

不難看出，在國家戰(zhàn)略支持的背景下，信創(chuàng)產(chǎn)業(yè)發(fā)展大有可為。根據(jù)艾媒咨詢近日發(fā)布的《2023年中國信創(chuàng)產(chǎn)業(yè)發(fā)展白皮書》預(yù)計，2023年中國信創(chuàng)產(chǎn)業(yè)規(guī)模將達20961.9億元。國產(chǎn)化軟硬件的替代潮為信創(chuàng)行業(yè)帶來發(fā)展契機。

雖然在技術(shù)水平、創(chuàng)新能力、市場競爭等方面仍面臨不少挑戰(zhàn)，但國產(chǎn)化替代的趨勢不可逆轉(zhuǎn)，比如國資委就要求從2023年開始，每個季度要上報信創(chuàng)系統(tǒng)的替換進度，并要求在2027年底前實現(xiàn)中央企業(yè)的信息化系統(tǒng)國產(chǎn)化替代。

無論是網(wǎng)絡(luò)安全產(chǎn)品也好，還是更加基礎(chǔ)的操作系統(tǒng)也好，相信只有夯實地基，將“源碼”牢牢掌握在自己手中，才能從根本上提高信息系統(tǒng)的安全性，減少外部威脅和攻擊的風(fēng)險。

分享文章：安全產(chǎn)品漏洞這個事，瞞不住了
分享網(wǎng)址：http://m.fisionsoft.com.cn/article/dhdiodp.html