漏洞披露的双刃剑效应

gtxyzz 安全防护 2022-12-07 434浏览 0

大多数“白帽子”安全工程师都受到一种社会责任感的驱动，使得他们一旦发现漏洞，就想立刻大声告诉所有人。

漏洞披露的双刃剑效应

在整个网络安全行业，无论是新发现的漏洞还是不断演变的网络威胁，我们信奉的理念都是快速共享信息，目的是促使受影响的服务提供商(硬件或软件)立即采取行动，及时修复漏洞。

而当我们从拉长时间线，从宏观上来看漏洞披露的影响，会发现它是一枚双刃剑——“及时修复”与“恶意利用”在博弈。

过早公布漏洞不是一件好事

披露漏洞的途径有很多，消息往往以迅雷不及掩耳之势传播。对先前未知的问题进行过早的“全面披露”会催生邪恶力量的萌芽——黑客通常比服务提供商的IT团队行动更快。

一个著名的例子就是Mirai僵尸网络，该僵尸网络在2016年攻击了美国的联网设备，使美国多个城市的互联网瘫痪。实际上最初，它是用于对Telnet的嵌入式监听设备进行暴力攻击。后来，Mirai源代码被发布到开源社区，产生了模仿版本，用于对通过SecureShell(SSH)的监听硬件进行暴力攻击。为了提高入侵率，这些攻击利用了安全性较弱的物联网(IoT)设备中的多种漏洞。

如今，Mirai变体仍然对嵌入式Linux系统构成持续不断的威胁。下图展示了Mirai所带来的威胁走势。直到2019年6月，Mirai的变体仍然持续出现。

漏洞披露的双刃剑效应