新聞
【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架
在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至
不久之後就出現攻擊行動，這種態勢很可能會在2021年延續
https://www.ithome.com.tw/news/142112
新聞
【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架
在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至
不久之後就出現攻擊行動，這種態勢很可能會在2021年延續
按讚加入iThome粉絲團
文/周峻佑 | 2021-01-11發表
根據美國國土安全部2020年發布的資安通告，我們整理出10個最常出現的漏洞，Junos OS
與PAN-OS的漏洞公告次數雖然僅有1次，但Juniper設備於電信業者的市占極高，Palo Alt
o亦是防火牆領導品牌而列入；微軟DNS服務漏洞CVE-2020-1350亦僅有一次通告，是以發
出緊急指令的型式，要求所有聯邦機關限期修補，故亦列入名單。
鎖定漏洞攻擊的現象，曾在2018年就有數家資安廠商提出警告，指出利用已知漏洞的攻擊
事件會日益氾濫。因為，對於駭客而言，這麼做可以省下自己找尋弱點的工夫。回顧2020
年，我們看見有許多大型IT業者的系統，出現CVSS第3版風險層級接近滿分（10分）的漏
洞，而這樣的情況有多嚴重？從美國國土安全部一年之內發出3次緊急指令（Emergency D
irective），這種史無前例的現象，可以看出端倪。
該單位於2020年發布的命令內容，有2個都與危險程度達滿分的漏洞有關，包含了DNS伺服
器漏洞SIGRed（CVE-2020-1350），以及與AD權限擴張有關的Zerologon（CVE-2020-1472
）。這樣的態勢，也使得他們在2020年發出緊急指令數量，創下有史以來最多的一年。
新聞
【2021資安大預測】趨勢2：漏洞攻擊｜CVSS近滿分漏洞頻傳，企業難以招架
在2020年，不斷有風險程度近10分的漏洞遭到揭露，遍及各種應用系統與網路設備，甚至
不久之後就出現攻擊行動，這種態勢很可能會在2021年延續
按讚加入iThome粉絲團
文/周峻佑 | 2021-01-11發表
根據美國國土安全部2020年發布的資安通告，我們整理出10個最常出現的漏洞，Junos OS
與PAN-OS的漏洞公告次數雖然僅有1次，但Juniper設備於電信業者的市占極高，Palo Alt
o亦是防火牆領導品牌而列入；微軟DNS服務漏洞CVE-2020-1350亦僅有一次通告，是以發
出緊急指令的型式，要求所有聯邦機關限期修補，故亦列入名單。
鎖定漏洞攻擊的現象，曾在2018年就有數家資安廠商提出警告，指出利用已知漏洞的攻擊
事件會日益氾濫。因為，對於駭客而言，這麼做可以省下自己找尋弱點的工夫。回顧2020
年，我們看見有許多大型IT業者的系統，出現CVSS第3版風險層級接近滿分（10分）的漏
洞，而這樣的情況有多嚴重？從美國國土安全部一年之內發出3次緊急指令（Emergency D
irective），這種史無前例的現象，可以看出端倪。
該單位於2020年發布的命令內容，有2個都與危險程度達滿分的漏洞有關，包含了DNS伺服
器漏洞SIGRed（CVE-2020-1350），以及與AD權限擴張有關的Zerologon（CVE-2020-1472
）。這樣的態勢，也使得他們在2020年發出緊急指令數量，創下有史以來最多的一年。
大型IT廠商網通與資安產品重大漏洞頻傳，已出現攻擊事件
除了上述的微軟Windows作業系統漏洞，還有許多企業會運用的網路設備，也在2020年被
發現這種CVSS風險層級接近滿分的漏洞，這些包含了F5 BIG-IP設備的RCE漏洞CVE-2020-5
902、Palo Alto Networks防火牆作業系統（PAN-OS）漏洞CVE-2020-2021，以及2019年底
被發現、Citrix於2020年1月修補的CVE-2019-19781漏洞等。而這些漏洞也出現被駭客濫
用的案例，例如，2020年8月大型遊輪業者Carnival遭到勒索軟體攻擊，就有資安業者點
名該公司被入侵的管道，就是沒有修補CVE-2019-19781的Citrix網路設備。
這種企業應用系統出現重大漏洞的情況，還有SAP Netweaver AS Java的CVE-2020-6287（
RECON），以及出現在基礎架構自動化管理系統Salt的CVE-2020-16846與CVE-2020-25592
，還有HPE分別針對容器軟體Ezmeral、BlueData EPIC，以及儲存裝置3PAR StoreServ，
修補CVSS風險評分接近10分的重大漏洞，也就是CVE-2020-7196與CVE-2020-7197。
而在工作站電腦的部分，Dell旗下的精簡型電腦產品線Wyse，存在容易遭到濫用的CVE-20
20-29491與CVE-2020-29492。提供端點防護的趨勢企業防毒OfficeScan、Apex One，也被
揭露存在CVE-2020-8470、CVE-2020-8598，以及CVE-2020-8599等滿分漏洞，甚至ZDNet報
導指出，2019年日本重工業三菱電機遭駭，駭客疑似就濫用該廠牌防毒軟體的部分重大漏
洞而得逞。
這種重大漏洞連接於2020年被揭露的現象，也遍及許多領域的解決方案，尤其是與遠距辦
公有關的系統，更是受到關注。像是在VMware Workspace One數位工作平臺中，身分管理
模組的漏洞CVE-2020-4006，在公布一個月後，就傳出被用來發動攻擊的情況。
再者，視訊會議系統和協作平臺也是漏洞頻傳，不只有因中國人創業與系統設計瑕疵接連
引發各界關注的Zoom，還有思科的WebEx、Jabber，以及微軟Teams等，能夠藉著傳送惡意
訊息發動攻擊的漏洞，也是時有所聞。
開機程式與通訊協定漏洞影響層面甚廣，恐波及數億臺裝置
有些在2020年被發現的漏洞，不僅危害程度非常嚴重，同時影響範圍還擴及各式的系統。
例如，開源開機程式Grub2存在的漏洞BootHole（CVE-2020-10713），影響所有執行安全
開機的個人電腦、伺服器，以及物聯網裝置等，不僅各大版本Linux業者相繼修補，就連
微軟也發出安全公告，並提供安全開機DBX黑名單更新檔案。
而這樣的情況，也出現在協定層面的漏洞，涉及的範圍同樣相當廣泛。資安研究人員在20
20年揭露此種型態的漏洞，包含了存在於TCP/IP網路協定程式庫的Ripple20，與4項TCP/I
P堆疊元件有關的Amnesia:33；而出現在網域名稱系統（DNS）的漏洞，包含了可被用於快
取污染（Cache Poisoning）攻擊的SAD DNS，以及查詢遞迴漏洞NXNSAttack等，這種型態
的漏洞發現，研究人員粗估影響10億臺裝置。
不只是有線的網路通訊協定存在嚴重漏洞，無線通訊也存在類似的情況，例如，存在於Wi
-Fi晶片的Kr00k（CVE-2019-15126），還有出現在藍牙協定的BLURtooth（CVE-2020-1580
2）、SweynTooth等。由於此類漏洞牽涉範圍甚廣，需要許多廠商修補自家裝置才能緩解
，後續引發的效應為何？在新的一年也相當值得觀察。