启明星辰：2018-2019网络安全态势观察报告（211页）.pdf

1、2018 年 1 月，计算机中央处理器芯片曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞，影响 Intel、AMD 以及 ARM 等多个厂商的产品，受影响的操作系统平台有Windows、Linux、Android、IOS 以及 Mac OS 等。这两大漏洞分别破坏了用户应用程序和系统内核之间的基本隔离以及不同应用程序之间的隔离。此后在 2018 年 5 月，又先后曝出了至少 8 个新的 CPU 漏洞。攻击者可以利用这些漏洞从虚拟机逃逸进而攻击主机系统。2018 年曝出的 CPU 漏洞广泛涉及了过去 10 年间的绝大部分 CPU 型号，其造成的影响力虽然是里程碑式的，但

2、真实利用相关漏洞进行攻击的案例少之又少。2、 Memcached UDP 端口反射攻击漏洞被利用，Github 遭遇有史以来最大规模 DDoS 攻击Memcached 是一款免费且开源的高性能分布式内存缓存系统，旨在通过减轻数据库负载来加速动态 Web 应用程序的访问速度。由于 Memcached 本身没有权限控制模块，所以对公网开放的 Memcached 服务很容易被攻击者扫描发现。攻击者通过向开启了 UDP 协议支持的 Memcached 服务器发送伪造的 IP 欺骗请求，Memcached 服务器会将大量的响应报文发往目标攻击主机，从而占用目标攻击机器的大量带宽资源，导致拒绝服务。201

3、8 年 3 月，知名代码托管网站 GitHub 因此遭遇了有史以来最严重的 DDoS 网络攻击，峰值流量一度达到 1.35Tbps。3、 WebLogic 反序列化远程代码执行漏洞WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应 用的 Java 应用服务器。从 CVE-2017-3506 开始，WebLogic 接二连三爆出了大量的反序列化漏洞。2018 年，WebLogic 同样曝出多个高危反序列化远程命令执行漏洞，给大量未及时打补丁的客户带来了巨大损失。其中多个漏洞是对于老漏洞的绕过(CVE-2018-3245，CVE-2018-3191，CVE-

4、2018-2893，CVE-2018-2628)。2019 年，CVE-2019-2725 和 CVE-2019-2729 相继曝光，无独有偶，CVE-2019-2729 漏洞是对 CVE-2019-2725 漏洞补丁进行绕过形成的新利用方式，属于 CVE-2019-2725 漏洞的变形绕过。WebLogic 反序列化漏洞经过了一次又一次的修补和一次又一次的绕过，漏洞挖掘者和漏洞防御者之间的博弈从未停止过。在 CVE-2019-2729 之前，WebLogic 的修补措施只是将网上流传的 POC 中比较危险的函数写入黑名单加以控制。但是这些被限制的函数会有许许多多的替代函数，而且每一个替代函数

5、都会轻松地绕过黑名单，导致不断有新的 WebLogic 反序列化漏洞形成。CVE-2019-2729 漏洞后，WebLogic 的修补措施变为白名单机制，相信经过此轮修补后，此类漏洞的利 用范围会越来越窄。4、 ThinkPHP 多个远程代码执行漏洞2018 年 12 月 10 日，ThinkPHP 发布安全更新，修复了一个远程代码执行漏洞。该漏洞是由于 ThinkPHP 框架对控制器名没有进行足够的检测，从而导致攻击者可以实现远程代码执行。该漏洞早在 2018 年 9 月尚处于 0day 阶段就已经被用于攻击，并且在漏洞曝光后的一周左右就已经被整合到恶意样本中，通过蠕虫的方式在互联网传播。时

6、隔一个月后，ThinkPHP 再曝 Request 类远程命令执行漏洞。该漏洞是由于 Request类的 method 函数控制松散，导致可以通过变量覆盖实现对任意函数进行调用，并且$_POST 将作为函数的参数传入，最终通过 filterValue()方法中的回调函数 call_user_func()触发漏洞，实现远程命令执行。5、 Flash 多个在野 0day 漏洞被 APT 组织野外利用2018 年 2 月 1 日，Adobe 官方发布了安全通告(APSA18-01)称一个最新的 Adobe Flash 0