2021年在野0day漏洞数量创纪录 暴增的背后或许并不悲观

谷歌Project Zero成立于2014年7月，该项目长期追踪全世界范围内的0day漏洞，近日该团队发布相关报告对2021年0day漏洞在野利用进行了总结。报告内容显示，在过去的2021年，该团队总计收录了58个被黑客利用的0day漏洞，刷新了历史记录。
 
在野利用0day漏洞数量增长的背后 检测能力和披露力度的增强或是主因
 
项目团队称这是自2014年开始跟踪记录以来最多的一次。在2015年，检测到的在野利用0day漏洞数量为28个，2020年检测在野利用0day漏洞数量为25个。
 

 
看完上面的数据之后，可能大家首先想到的是这是大幅上升的趋势，表面上看这一理解没有问题，但同时，尽管数据是客观的，我们仍不能简单地去直接理解它，因为数据也会有误导人的一面。谷歌Project Zero对这一增长趋势给出结论称：“我们认为2021年0day漏洞利用大幅上升是由于检测和披露力度的进一步增加，并不能单纯地理解为攻击趋势的增长。”
 
这意味着，这一数据也许并不代表在野利用0day漏洞的数量有我们想象中的那么大比例增长，而是在于我们发现它的能力相比此前也在加强。
 
在报告中，作者团队明确指出——0day漏洞数量与检测能力和披露力度的增长有明显关系。2021年谷歌在他们自己的产品中发现了7个正在被利用的0day漏洞，微软在他们的产品中发现了10个。“更多的供应商都在加强自身产品的漏洞检测能力，他们似乎在2021年找到了更加成功的方法”，这一趋势确实是人们更愿看到的，而不是视而不见。
 
关于是否披露在野利用情况，谷歌站在了自认为正确的一方，他们和微软现在会对安全公告进行注释，表明漏洞存在在野利用，这也表明情况非常危及。同样做法的还包括Adobe、Apache。但这一做法还没有标准化，指出其它企业并没有统一沿用这一做法，比如高通公司和ARM产品的0day漏洞在Android安全公告中被标注为“存在在野利用”，但在供应商自己的安全建议中则没有。
 
呼吁生态链上游企业加大披露力度 或将带来新的巨大挑战
 
谷歌Project Zero还呼吁更多的生态上游企业在漏洞修复后公开0day漏洞的细节，他们认为基于“基本事实”可以让企业能够在防御技术上提供更好的判断，比如是否需要技术升级。但就现实而言，可能又过于理想化。谷歌Project Zero也承认分享利用漏洞样本可能具有挑战性。
 
这种挑战正如此前美国网络安全和基础设施安全局（CISA）发布的一份报告披露那样，一份已知被利用漏洞列表当中共包含15个漏洞，其中只有4个是最新漏洞，属于0day漏洞范畴，剩余的11个漏洞均可追溯更远历史，而且他们都有属于各自的 CVE 编号。这也意味着，相关厂商均为其提供过安全修复工作，企业和组织在漏洞修复上则行动缓慢。
 
换言之，如果过早披露0day漏洞细节，无疑是对更多攻击者的助攻，在大多数Nday仍然有效的大环境下，0day自然会更显锋芒，因此只能带来更多的安全风险。
 


但我们理解谷歌Project Zero团队的思考初衷，这可能源于长年发现有大量在野利用的0day漏洞情况发生想要解决问题的迫切心理。生态链上游不披露不代表漏洞不存在，不披露不代表不存在黑客利用情况，当全行业理解其中的真实威胁，并感到困惑之时，终要找到一种方法，不如提前行动建立应对方法论。
 
谷歌Project Zero团队坚持地相信，所有设备和软件供应商都应该同意在有证据表明他们的产品中存在漏洞时公开披露，并为此建立行业标准，长远来看，他们认为这是实现攻击者攻击成本提升的重要路径。
 
攻击技术并未展现复杂变化 苹果对漏洞的修复速度更快
 
利用0day漏洞执行网络攻击被认为是最有效的攻击方法之一，谷歌Project Zero团队还进一步的通过对58个被黑客利用的0day漏洞分析称，其中56个漏洞利用无论是攻击技术还是攻击面，与此前相比并没有展现出复杂的变化，只有两个0day漏洞让研究人员眼前一亮，一个是出于技术的复杂性，另一个是单纯的仅靠逻辑错误的沙箱逃逸。
 
Chrome（谷歌浏览器）在2021年共发现了14个在野利用的0day漏洞；Safari（苹果浏览器）方面则为7个，但谷歌团队强调了这些漏洞全部基于外部研究员披露而来；Internet Explorer（微软浏览器）数量为4个，进一步的说明则显示可能与其不断压缩的市场占有率有关（或是重心转移至Edge）。
 
Windows方面，在2021年共发现了10个在野利用的0day漏洞，Microsoft Exchange Server方面则有5个；iOS/macOS数量5个，但让人眼前一亮的两个漏洞均出自于此，其中CVE-2021-30860被称为最复杂的漏洞之一，它被检测到有组织利用该漏洞进行武器化攻击，另一个沙盒逃逸漏洞CVE则尚未分配。另外报告内容谷歌团队似乎对苹果漏洞的修复速度给予了高度评价；Android方面为7个，披露显示，GPU正在成为Android生态最常用的攻击入口。
 
谷歌Project Zero团队表示，对2021年0day漏洞在野利用做出整体分析有利于了解攻击者的行为，虽然检测能力正在提升，但需要指出的是，积极使用0day漏洞的攻击者们不会分享他们“工作成果”，更不会分享安全团队持续跟踪过程中尚未发现的0day漏洞，因此，该报告仅能代表部分的成果总结。