2021年，惡意黑客加大零日漏洞利用力度，遭利用的零日漏洞數(shù)量創(chuàng)歷史新高，且大多數(shù)源自微軟、谷歌和蘋果的軟件。

一如既往，國家支持的高級持續(xù)性威脅(APT)組織仍然是漏洞利用的主力軍。但是，他們不是唯一的漏洞利用力量：求財型黑客團伙，尤其是勒索軟件攻擊團伙，大大增加了對零日漏洞的利用，利用零日漏洞的攻擊者中三分之一都是這類黑客團伙。

本周，兩份咨詢報告分別指出，軟件漏洞在補丁推出前即遭利用的情況大幅增加。這兩份報告一份出自Mandiant，另一份出自谷歌安全團隊Project Zero。Mandiant指出，2021年有80個軟件漏洞在補丁推出前即遭到黑客利用;谷歌則識別出了58個此類零日漏洞。

按照Mandiant的說法，相較于2020年錄得的30個，2021年的80個零日漏洞利用代表著167%的增長，而且比2019年的此前最高紀錄32個也增加了一倍多。至于谷歌觀察到的58個零日漏洞利用，則是該公司2020年所錄25個的兩倍還多，也是谷歌2015年最高紀錄28個零日漏洞的兩倍多。

Mandiant表示，出自微軟、谷歌和蘋果的漏洞占了去年遭利用零日漏洞的75%，這可能是因為這三家公司的技術(shù)遍布全球，應(yīng)用廣泛。谷歌自2014年開始維護的一張零日漏洞電子表格顯示，該公司去年觀測到的58個零日漏洞利用中有16個都是該公司自己的技術(shù);21個歸屬微軟的產(chǎn)品;13個出自蘋果的產(chǎn)品。剩下的漏洞分屬其他九個供應(yīng)商，包括高通、趨勢科技、SonicWall、Accellion(現(xiàn)為Kiteworks)和Pulse Secure。

2012年至2021年期間遭利用的零日漏洞

Mandiant首席分析師James Sadowski表示，這些數(shù)據(jù)凸顯企業(yè)不能忽視惡意攻擊者在非流行技術(shù)中尋找和利用零日漏洞的可能性。

他說道：“盡管主流供應(yīng)商依然是零日漏洞利用的主要目標，但我們也越來越多地觀測到主流供應(yīng)商之外的零日漏洞利用，兩類技術(shù)和供應(yīng)商遭遇的零日漏洞利用都增加了?！?/span>

幾乎過時的一款A(yù)ccellion產(chǎn)品中的漏洞造成多家大型企業(yè)發(fā)生數(shù)據(jù)泄露事件，談及此事時Sadowski表示：“正如我們在Accellion FTA漏洞利用中觀察到的那樣，惡意攻擊者能夠利用這些系統(tǒng)中的漏洞，造成重大損害。”

零日漏洞利用暴增原因多樣

Mandiant發(fā)現(xiàn)，去年零日漏洞利用大幅增長是多種原因推動的。該公司認為，企業(yè)越來越多地采用云、移動和物聯(lián)網(wǎng)技術(shù)，增加了企業(yè)的在用軟件數(shù)量，因而漏洞發(fā)現(xiàn)數(shù)量也隨之增多。負責(zé)交易零日漏洞的所謂漏洞利用經(jīng)紀人數(shù)量增加也是一個因素，這些漏洞利用經(jīng)紀人促使零日漏洞利用團伙增加了對研發(fā)的投資。與此同時，谷歌指出，零日漏洞檢測和披露的改善刺激了零日漏洞的涌現(xiàn)。Mandiant也表示這是可能因素之一。

Mandiant的分析顯示，國家支持的黑客組織繼續(xù)統(tǒng)治零日漏洞利用山河。但是，勒索軟件和出于經(jīng)濟利益動機的其他威脅團伙在攻擊中使用零日漏洞的數(shù)量也明顯增加了。

Mandiant首席分析師Sadowski稱，這些惡意黑客可能是從地下漏洞利用經(jīng)紀人和犯罪服務(wù)提供商那里購買零日漏洞利用程序，要不然就是招募必要的人才來內(nèi)部研究漏洞并開發(fā)零日漏洞利用程序，正如Conti勒索軟件團伙案例中所呈現(xiàn)的那樣：Conti泄出的聊天文件表明這伙黑客會討論最近披露的漏洞，并分配人手構(gòu)建掃描器來識別潛在的脆弱系統(tǒng)。

Sadowski說道：“我們可以看到，隨著勒索軟件團伙從其攻擊活動中攫取到越來越多的資金，他們更加頻繁地在攻擊中使用零日漏洞利用程序。但總的說來，我們非常難以確定惡意黑客可能在哪里得到零日漏洞利用程序。”

Viakoo首席執(zhí)行官Bud Broomhead表示，零日漏洞利用的增加表明：惡意黑客正將其攻擊途徑轉(zhuǎn)到傳統(tǒng)威脅評估和檢測解決方案無法發(fā)現(xiàn)的漏洞上去。“為什么不僅零日漏洞威脅，還有物聯(lián)網(wǎng)漏洞利用和開源軟件漏洞利用都是快速增長的企業(yè)威脅?這就是原因所在?！逼髽I(yè)面臨的挑戰(zhàn)在于弄清怎樣限制成功零日漏洞攻擊的傷害，弄清如何防御針對新型攻擊途徑的漏洞利用。

Netenrich首席威脅獵手John Bambenek表示，不斷增加的零日漏洞利用表明企業(yè)需要具備快速修復(fù)能力。

“在漏洞修復(fù)方面，企業(yè)需要保持靈活性和敏捷性，盡可能多地清除修復(fù)障礙，例如簡化測試和變更管理?！?/span>

來源：數(shù)世咨詢