什么是零日漏洞?

零日漏洞(Zero-Day Vulnerability)是负责开发应用程序的程序员或供应商所不知道的软件缺陷。因为漏洞是未知的，所以没有可用的补丁。

这个名字(Zero Day)来源于数字内容盗版的世界：如果盗版者能够在合法销售的同一天(或者甚至更早)发行盗版电影或专辑，这就被称为“零盗版日”(Zero Day)。

零日漏洞(Zero-Day Vulnerability)是指已经发现的软件或硬件缺陷，而且不存在补丁。“发现”部分是关键——毫无疑问，有很多没有人知道的缺陷，这引发了一些“如果一棵树倒在森林里，但没有人听到怎么办?”之类的哲学问题。但谁知道这些漏洞的问题，对于安全事件如何发展至关重要。发现漏洞的白帽安全研究人员可以私下联系供应商，以便在漏洞被广泛知道之前开发补丁。与此同时，一些恶意黑客或国家支持的黑客组织可能希望对漏洞的信息保密，这样供应商就不会知道，漏洞就不会被发现。

## 为什么零日漏洞攻击是危险的?

因为“零日漏洞攻击”是一种利用尚未修补的漏洞的手段，所以它们是网络攻击的一种“终极武器”。虽然世界上每年都有无数的系统被入侵，但可悲的事实是，大多数入侵利用的漏洞都是安全专家知道的，并且存在修复; 攻击之所以能够成功，部分原因在于受害者不重视安全，而那些对自身安全状况掌握得很好的组织(至少在理论上应该包括真正的高价值目标，如金融机构和政府机构)将会应用所需的补丁来防止这类入侵。

但是根据定义，零日漏洞是无法修补的。如果该漏洞没有被广泛宣传，潜在的受害者可能没有注意到易受攻击的系统或软件，因此可能会错过可疑活动的信号。这给攻击者带来的好处是，他们可能会试图对漏洞的信息保持相对保密，只针对高价值目标使用“零日漏洞”攻击，因为这个秘密不会永远持续下去。

值得重申的是，这里的“攻击者”不仅包括网络罪犯，也包括国家支持的组织。众所周知，中国和美国情报机构都会在零日漏洞收集信息，用于间谍活动或网络破坏。一个特别著名的例子是美国国家安全局(U.S. National Security Agency)在微软Windows系统的SMB协议中发现的一个漏洞; 美国国家安全局(NSA)为此设计了“永恒之蓝”(EternalBlue)漏洞代码，最终被恶意黑客窃取，并利用其创建了“想哭”(WannaCry)勒索蠕虫病毒。

当受到影响的组织确实了解到“零日漏洞”时，他们可能会发现自己陷入两难境地，特别是当漏洞发生在操作系统或其他广泛使用的软件时: 他们必须要么接受攻击的风险，要么关闭其操作的关键方面。

防御零日攻击

虽然零日漏洞和攻击是极其严重的问题，但这并不意味着减轻它们是不可能的。对抗此类攻击的方法可以分为两大类: 单个组织及其IT部门可以做什么来保护自己的系统，以及整个行业和安全社区可以做什么来使整体环境更安全。

让我们从讨论您和您的组织可以做些什么来保护您自己开始。希望您已经在实践良好的安全卫生(security hygiene); 好消息是，即使没有针对特定零日漏洞的补丁可用，严格的安全实践仍然可以降低您被严重损害的机会。

• 实践深度防守。请记住，许多入侵是利用多个漏洞进行一系列攻击的结果。让你的补丁保持更新，让你的员工了解最佳实践，可能会打破这条链。例如，你的数据中心服务器可能会受到零日漏洞的影响，但如果攻击者无法攻破你最新的防火墙，或说服你的用户下载与钓鱼电子邮件相关联的木马，他们就无法将漏洞应用到有漏洞的系统上。
• 注意外来入侵。因为你可能不知道零日攻击的形式，所以你需要密切关注各种可疑活动。即使攻击者通过您不知道的漏洞进入您的系统，他们也会在开始在您的网络中移动并可能窃取信息时留下蛛丝马迹。入侵检测和防御系统旨在发现这种活动，先进的反病毒程序可能类似地将其作为恶意软件的行为，即使它不匹配任何现有的签名。
• 封锁你的网络。从理论上讲，你公司中的任何设备或服务器都可能存在零日漏洞，但不太可能所有设备都存在。网络基础设施使得攻击者难以从一台计算机转移到另一台计算机，并且易于隔离受到攻击的系统，这有助于限制攻击所能造成的破坏。特别是，您希望实现基于角色的访问控制，以确保渗透者不能轻易地获取您的核心。
• 一定要备份。尽管您尽了最大的努力，但零日攻击仍有可能使您的一些系统脱机，或破坏或删除您的数据。频繁的备份将确保您可以快速地从这种最坏的情况中恢复。

零日漏洞例子

比如SolarWinds Orion API Authentication Bypass Vulnerability (CVE-2020-10148 CVSS, 9.8 NIST: NVD)。SolarWinds Orion API受到身份验证旁路攻击后，可以允许攻击者远程执行任意API命令。SolarWinds Orion API嵌入到Orion核心中，用于与所有SolarWinds Orion平台产品的接口。

SolarWinds Orion是由SolarWinds公司开发的一套IT基础设施管理软件，该公司提供网络性能监控和管理工具。可见，这个漏洞被黑客利用的话，所造成的危害是难以估量的。

还有一个例子是关于"Log4Shell"
2021年12月9日，当阿里巴巴云安全团队发现CVE-2021-44228(10.0 NIST: NVD)，也就是"Log4Shell"，这是一个影响Apache Log4j核心功能的高级别漏洞，Log4j漏洞影响从云到开发人员工具和安全设备的一切。

CVE-2021-44228是Apache Log4j 2中的一个远程代码执行(Remote Code Execution, RCE)漏洞。未经身份验证的远程攻击者可以通过向运行有漏洞的log4j版本的服务器发送特殊设计的请求来利用这个漏洞。精心设计的请求通过各种服务使用Java命名和目录接口(JNDI)注入，包括:轻量级目录访问协议(LDAP)、安全LDAP (LDAPS)、远程方法调用(RMI)、域名服务(DNS)。

如果有漏洞的服务器使用log4j记录请求，那么漏洞攻击程序将通过上述服务之一从受攻击者控制的服务器通过JNDI请求恶意有效载荷。成功的开发可以导致远程代码执行(RCE)。

CVSS Score: 10 vs 零日漏洞(Zero-Day Vulnerability)

通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)和“零日漏洞”概念是网络安全的两个不同方面。

CVSS是评估计算机系统安全漏洞的严重性的一个标准。它提供了一个开放的框架来交流IT漏洞的特征和影响。分数从0到10,10分是最严重的。该模型综合考虑了漏洞攻击的复杂性，漏洞攻击对系统完整性、可用性和机密性的影响，以及是否需要用户交互等多种因素。

零日漏洞(Zero-Day Vulnerability)是负责开发应用程序的程序员或供应商所不知道的软件缺陷。因为漏洞是未知的，所以没有可用的补丁。在漏洞被缓解之前，攻击者可以利用它对计算机程序、数据、其他计算机或网络产生不利影响。

如果一个零日漏洞特别严重(即，它很容易被利用，可以被远程利用，不需要用户交互，并且对系统的影响很高)，它可能有一个潜在的CVSS分数10。然而，不是所有零日漏洞将有10的CVSS分数。得分将取决于漏洞的具体特征。

参考

• csoonline.com