干货分享|安般科技带你一文“看透”0day漏洞

640.gif


一、什么是0day漏洞?

0day漏洞(Zero-Day漏洞)指的是在被公开之前的“零天”时间里,攻击者能够利用的漏洞。这类漏洞具备以下关键特点:


01 未公开:0day漏洞在被发现和修补之前,厂商和公众对其一无所知;

02 高风险:由于没有现成的修复措施,0day漏洞通常具有很高的风险,可能被用于恶意攻击;

03 难以防御:因为漏洞的存在和利用方式尚未被识别,防御措施难以制定。


在安全领域,0day漏洞是非常严重的威胁,通常需要通过快速响应和补丁更新来进行相应的安全防御。



二、CNNVD、CVE、CWE简介

1. CNNVD

(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库)

CNNVD成立于 2002 年,由中国国家信息安全漏洞库中心建立,旨在集中管理和公开中国发现的安全漏洞信息,提供统一的漏洞信息服务。CNNVD 的主要目标是帮助组织识别、管理和应对安全漏洞,以提高信息系统的安全性。通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,联合政府部门、行业用户、安全厂商、高校和科研机构等社会力量,对涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞开展采集收录、分析验证、预警通报和修复消控工作,建立了规范的漏洞研判处置流程、通畅的信息共享通报机制以及完善的技术协作体系,处置漏洞涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业。


2. CVE

(Common Vulnerabilities and Exposures,通用漏洞披露)

CVE 成立于 1999 年,由美国国家安全局(NSA)和 MITRE Corporation 合作创建。CVE 的目的是为公众提供一个标准化的、独立的漏洞标识系统,使得不同的安全工具、服务和研究人员可以使用统一的标识符来描述通用的漏洞披露信息。


3. CWE

(Common Weakness Enumeration,通用弱点枚举)

CWE于 2006年由 MITRE Corporation 创建,旨在提供一个标准化的、系统化的弱点分类系统,以帮助组织识别、理解和管理软件和系统中的安全弱点。CWE在不断的发展中成为了一个详细的分类体系,其列出了各种软件弱点及其可能导致的安全问题,如输入验证缺陷、资源管理错误等。


发现0day漏洞后,可将其上报至CVE和CNNVD等公共组织,公开漏洞信息,增加透明度,使所有利益相关者都能够了解和防范潜在的安全风险,且及时的上报和披露可以促使受影响的软件供应商快速响应,发布补丁和修复措施,促进全球安全研究人员和组织之间的协作,共同应对安全威胁。



三、0day漏洞带来的影响

  • 敏感信息被窃取:攻击者可以利用0-day漏洞执行恶意代码,从而获取存储在系统或应用中的敏感信息,如用户数据、商业机密等;
  • 数据被篡改:在不被察觉的情况下,攻击者还可能修改系统或应用中的数据,导致数据失真或损坏;
  • 系统崩溃:利用0-day漏洞的攻击往往能够绕过传统的安全防护措施,直接对目标系统造成损害,严重时可能导致系统崩溃;
  • 服务中断:系统受到攻击后,可能无法正常运行,导致服务中断,影响业务连续性;
  • 勒索:攻击者可以利用0-day漏洞攻击对被攻击方进行勒索,要求支付高额赎金以换取被攻击系统的解密密钥或敏感信息。


四、如何挖掘0day漏洞?

安般科技以当代智能模糊测试技术和程序分析技术为核心、以软件全流程负面测试为研发方向,是国际首批、国内首家从事商业化智能模糊测试技术的科技公司。作为软件负面测试行业的领跑者,曾承担国家科技部、工信部、中央军委多项重大课题研究,凭借卓越的技术创新能力已获“上海市专精特新中小企业”、“上海市高新技术企业”等认证。


针对0day漏洞的挖掘与检测,安般科技在模糊测试的基础上,结合动态分析、逆向工程、网络流量分析、固件仿真和人工智能等综合安全测试方法,显著提高了漏洞检测的覆盖率和效率。这种综合方法利用各个领域的优势,通过多角度、多层次的检测来发现和修复安全漏洞。同时,安般还采用定向模糊测试技术,以控制流距离或是否触发目标代码作为评估标准,逐步趋向目标位置,注重测试的针对性,从而能够更有效地发现潜在漏洞。


为了提升覆盖率,安般科技通过应用符号执行、污点分析和机器学习等技术,针对各行各业的不同应用场景进行了专有化适配,显著提高了软件测试的覆盖率,确保软件在各种复杂和多样化的应用场景中的质量和安全性。通过这些技术的融合,安般科技能够提供更加全面和高效的漏洞挖掘解决方案。


安般科技在0day漏洞挖掘领域具备行业领先的技术能力和市场竞争力,并获得了CNNVD、CVE等漏洞库官方运营机构的权威认可。此前,安般科技的模糊测试系列产品在多个开源项目中发现重要漏洞,例如:MySQL数据库最新版本中挖掘出的17个最高级别的致命0day漏洞。


在CNNVD官方发布的7月漏洞上报信息中,共接报漏洞1359个,其中信息技术产品漏洞(通用型漏洞)1148个,网络信息系统漏洞(事件型漏洞)211个。其中,安般科技在137家企业中上报漏洞数量达到29个。


640.webp

上图转载自CNNVD安全动态公众号



安般科技挖掘并上报CNNVD的待披露0day漏洞示例

640 (1).webp


综上所述,挖掘0day漏洞对于维护网络及软件安全至关重要,它不仅能够帮助企业和组织提前发现并修补潜在的安全风险,从而防止恶意攻击和数据泄露,而且对于提升整个行业的安全防护能力、促进安全技术的发展和创新具有深远影响。


通过主动识别和公开0day漏洞,可以加强网络安全社区的协作,推动安全产品的改进,提高对高级持续性威胁(APT)等复杂攻击的防御能力,同时也为网络安全研究人员和专业人士提供了展示技术实力和贡献社会的机会。


安般科技具有国内最领先的软件全流程负面测试工具链,可以有效提供针对未知漏洞挖掘及供应链安全扫描的整体解决方案,曾为能源工控、政府军工、金融、信创、智能网联汽车等多个领域数百个客户提供产品和服务,并在包括多款信创软件在内多个重要系统中发现累计超过1000个致命漏洞。通过检测0day漏洞,安般科技致力于帮助安全研究人员和企业提前发现并修复潜在的安全风险,提高系统的安全性和抵御攻击的能力,构建纵深防御体系,为软件系统安全提供坚不可摧的防护屏障。