报告 | 《2018 那些漏洞讲述的事 | 长亭安全漏洞观察年度报告》

2018已走，2019到来，我们带着什么样的思考进入未来？全球范围内爆发的重大漏洞，是偶然还是规律，在讲述着什么呢？

全球范围内新增

• Ghostscript屡曝沙盒绕过漏洞，使得一张图片攻陷服务器变成可能。

• BleedingBit蓝牙芯片远程代码执行漏洞，化身藏在无线AP里的幽灵。

• Kubernetes权限提升漏洞，堪称窃取容器编排的钥匙。

• ThinkPHP5远程代码执行漏洞，成为PHP开发者的梦魇。

• ……

我国企业的安全建设现状

• 平均每家企业/机构出现中高危漏洞的数量约为15.5个。

• 全部Web漏洞中业务逻辑漏洞数量最多，XSS漏洞、敏感信息泄露分列二三位。

• 不安全的ATS配置和访问控制不当是iOS客户端中出现频率最高的隐患，而在Android系统中，业务逻辑漏洞则是最为常见的问题类型。

• 相较其他行业，金融行业的漏洞数量最多，平均每家企业/机构存在漏洞38.8个。

• ……

报告提纲

• 2018年，世界范围内产生了哪些具有代表性的严重漏洞？

• 企业的业务系统面临怎样的安全威胁？

• 暗网屡次售卖隐私数据，数据泄露到底有多严重？

• 网络安全等级保护2.0有哪些变化？

• 怎样解读欧盟正式启用的通用数据保护条例？

• 全国各地掀起了一股攻防演练的热潮，究竟是怎么回事？

• 步入云时代，虚拟机逃逸究竟是科幻还是现实？

围绕漏洞的攻与防，从未停止

千里之堤，溃于蚁穴。从应用程序、开发框架、底层组件，到操作系统、网络设备、虚拟化产品，形形色色、大大小小的漏洞，为服务器失守、数据泄露等安全事件埋下祸根，也将攻防博弈推到了新高度。

国家层面，网络安全在全球范围内愈加受到重视。欧盟正式启用了“史上最严”通用数据保护条例GDPR；随着《中华人民共和国网络安全法》的正式实施，网络安全等级保护逐渐进入“等保2.0”时代。

企业层面，除了上设备、上系统、做测试，在人员能力方面，全国上下掀起了一股攻防演练的热潮，以多维度、进一步评估防护效果。

变了吗？没变吗？今天的攻击手段，似乎并未突破历史框架，但又分明在技术演进中找到了新的战场，比如云计算时代的虚拟机逃逸。

2018年，长亭科技安全研究实验室的f1yyy在GeekPwn上演示了VMware ESXi虚拟机逃逸，这是全球范围内针对ESXi的首次逃逸；微软安全工程师Jordan Rabet在BlackHat上首次演示了Hyper-V逃逸。过去十年，在攻防对抗的研究浪潮里，主流的虚拟化软件KVM、Xen、VMware、VirtualBox、HyperV无一幸免。不得不说，虚拟机逃逸已成为云计算时代令人闻风丧胆的重大安全威胁之一，需要行之有效的解决方案。

变革提速，安全建设需要更多有效信息

随着技术本身更高效、可扩展、无限变形，网络安全势必会持续的、不可避免的融入各个领域。不论是我们今天讨论的攻击方式、漏洞或工具，还是政府从监管角度、企业从自训角度提升安全水平从而防止信息泄露，一件已经避不开的事情就是：变革本身在提速。

企业安全建设是一项长期博弈的工作，而安全攻防博弈归根结底是知识的博弈。在变革已经提速的背景下，只有不断了解攻防动态，扩充知识库，才能避免被黑客降维打击。

对于这些观察，如同过去一年发布的系列《季度漏洞观察报告》一样，我们并不着急结论其为趋势，而是尝试着看到事件本身背后的东西，从微观世界中持续总结规律。

新的一年，网络安全从业者的队伍应该还会持续扩大，网络安全也必定会持续不断的带来新的惊喜。尽管你我都不知道2019年还会发生什么，但有心人总能够寻见端倪。

---

更多信息安全资讯