2023Q3零時差資安漏洞激增，短短一個多月爆出20個零時差漏洞，特別是涉及底層漏洞似乎變多-灰度官网

在9月到10月上半，我們關注到，攻擊者挖掘零時差漏洞並利用於攻擊行動的情況，似乎變得更嚴峻。我們特別統計了這方面的資訊，發現在這短短30多天，看到多達20個零時差漏洞已被用於攻擊行動的消息，平均下來，幾乎是快要每兩天就有1個零時差漏洞

釋出修補是當務之急，廠商與用戶都有責任

在這20個零時差漏洞攻擊中，除了導致的災情，修補的狀態仍是普遍企業關注焦點，我們從中整理出目前觀察到的現況。

一般而言，由於這些零時差漏洞攻擊涉及使用未知漏洞，因此大多數相關消息先聚焦在漏洞的通報，等到修補的釋出，再同時將未知漏洞公開，大多數零時差漏洞消息的曝光皆是如此。

特別的是，也有廠商選擇先公開揭露漏洞、提出緩解措施，後續才釋出更新修補。例如，思科在9月6日修補的零時差漏洞（CVE-2023-20269），就是先公告漏洞警訊並提出緩解措施，等到在9月27日發布暫時的修補更新，10月11日釋出新版正式修補。

另一種情形的處理順序剛好相反，例如，趨勢科技在9月19日公開揭露旗下產品的零時差漏洞（CVE-2023-41179），提醒已觀察到嘗試利用情形，但修補在這之前就已釋出。他們表示，受影響的Apex One SaaS在7月即修補，其他受影響產品，相關更新修補也在7月至9月12日之間陸續釋出。

是否因為攻擊嚴重性，而採取不同措施對予以應對？像是已經出現大規模攻擊，因此，需要先一步向外界示警、提出緩解，共同因應，或是為了掌握更多攻擊情資，要先暗中通知用戶更新修補，之後才對外公開。有些廠商會特別說明這部份考量，而有些不會，而且也不一定每次都表明，因此，外界也無法掌握這部份狀況。

還有一種情況，是因為上下游而導致修補時間被拉長。Google TAG小組曾經指出Android上的n-day漏洞問題，像是去年Arm公布修補一個漏洞，但Android系統修補該漏洞是隔年4月，這段期間，其實在Arm修補揭露的下一個月，就發現有駭客開始利用該漏洞。

也就是說，攻擊者可以利用已知的n-day漏洞，將其作為0-day來發動攻擊。

最近已有轉變，例如，在10月2日，Arm修補Mali GPU Driver的CVE-2023-4211漏洞，我們發現同日Android也修補，已在每月Android例行安全更新公告，說明修補同個漏洞。

儘管還有下游手機製造商是否會盡速修補的問題，但我們認為，如今至少縮短了上游供應商、平臺的修補時間差。

當然，更重要的是，用戶也要實際行動。否則只有廠商釋出修補，也示警攻擊者已經成功利用，但用戶裝作不知情、沒有去取得更新並修補，等於用戶沒有盡到自身之責。過去我們就看過很多例子，在廠商已經釋出修補後，資安研究人員發現網路上還是有很多設備存在曝險的情形。

對於零時差漏洞的因應挑戰，我們從近期事件注意到一件事，有些漏洞利用的情形，其實並不容易追查出，即使發現攻擊行動可能利用某途徑，仍有可能數個月後才被廠商知曉、修補被濫用的漏洞根源。

例如，9月6日思科所示警並公布的漏洞CVE-2023-20269，揭露了起因是AAA協定與其他軟體功能缺乏適當區隔，並提及此漏洞是在解決思科技術支援案例時發現，也感謝Rapid7通報了漏洞利用的情形。另也說明，他們在8月已察覺外部有漏洞利用情況。

這個漏洞的CVSS評分為5.0，並不高，但其實，思科在8月24日的Cisco部落格上，就曾經表示察覺相關威脅報告，指出勒索軟體組織Akira鎖定未啟用MFA的思科VPN的情形。

甚至，向思科通報的資安業者Rapid7在8月29日指出，最早從今年3月30日，就觀察到針對思科ASA SSL VPN設備的攻擊活動，並確定至少11個企業在3月到8月間遇害。

而且，還有多家資安業者早就發現跡象，例如，Sophos在5月看到勒索軟體Akira的攻擊手法，疑似是針對尚未採用雙因素驗證的SSL VPN系統下手，惡意軟體分析員Aura與SentinelOne則是在8月確認，被針對的SSL VPN系統廠牌是思科。

換言之，這個零時差漏洞帶來的危害，可能已經長達半年之久。而並非我們可能想像的，一旦零時差漏洞被利用於攻擊行動，外界很快就可以發現並予以修補。

另一個關注焦點是，攻擊者利用零時差漏洞來發動攻擊，能透過一次行動就造成大規模的攻擊，因此愈受歡迎的品牌，通常愈容易被當做目標，包括微軟、蘋果、Google，還有各式企業使用的IT、網通設備產品等。

特別的是，我們發現最近攻擊者挖掘的零時差漏洞，不只上述Arm的零時差漏洞被攻擊者發現並利用，還有3個也是涉及上游或底層的狀況，是過去較少見的態勢。

例如，在9月11日Google修補的漏洞CVE-2023-4863，最初，這似乎只是瀏覽器中的漏洞，但隨著資安界不斷揭露新的資訊，大家才知道影響層面相當廣泛。

Google在修補此CVE-2023-4863時表示，其通報者是來自蘋果工程師與加拿大公民實驗室的專家。由於4日前，蘋果剛修補2個零時差漏洞，且加拿大公民實驗室同步揭露利用此漏洞組合的攻擊場景，因此當時我們立即聯想到，鎖定這個漏洞攻擊的幕後，可能是同樣的攻擊者在利用。

事實上，最近我們進行後續追蹤時，發現9月底有許多資安業者專家談起這次Pegasus間諜程式的漏洞利用，會將這3個漏洞一併相提。也有不少業者指出，蘋果修補的CVE-2023-41064，與Google發布的CVE-2023-4863是有關聯的。

關於CVE-2023-4863的討論很多，爭議在於，Google原本指出該漏洞是WebP圖像處理時的堆緩衝區溢漏洞，接著傳出所有支援WebP圖像處理的瀏覽器都受影響，後續，很多專家紛紛指出該漏洞影響深遠，因為這是存在WebP圖像處理的開源編解碼程式庫libwebp。

此外，Google在9月28日修補的零時差漏洞CVE-2023-5217，由於漏洞存在開源視訊編解碼程式庫libvpx中的VP8視訊編碼，儘管討論熱度不及上述libwebp漏洞，但同樣有需要廣泛修補的狀況。

另外還有一起零時差漏洞攻擊，10月10日，Cloudflare、Google與Amazon AWS公開揭露HTTP/2協定的零時差漏洞，這個被攻擊者用於發動巨量DDoS攻擊的漏洞，同樣影響層面不小。這些業者指出，任何部署HTTP/2的業者應該都會受此漏洞影響，大部分的網頁伺服器亦包含在內。

依據上述現況，攻擊者濫用零時差漏洞的目標，確實有往底層切入的態勢。