無論在家中或工作場所,我們每天都與許多IT產品為伍,而在長期使用的過程當中,通常會意識到某些軟硬體需要進行定期或不定期更新,例如,個人電腦、智慧型手機、平板電腦的作業系統每個月可能至少需要進行安全性更新,持續使用幾年後,可能面臨系統升級甚至換機需求。

然而,有些隱身在角落或設置在機房的設備,若沒有刻意安排定期汰換,恐怕用到廠商終止提供產品更新支援,都還不知道繼續使用會面臨更多風險。當然有不少人也明知這樣的IT產品不再可靠,但限於預算不足、更換不便,甚至純粹怕麻煩等原因,仍在隨時可能會出差錯、發生問題等狀態下使用。

最廣為人知的例子當屬小型辦公與家用環境(SOHO)Wi-Fi路由器,經常看到資安新聞媒體報導相關安全性事故,這類設備因系統老舊、廠商不再提供韌體改版升級支援,一旦被有心人士找出資安漏洞,就可能被入侵、綁架,而成為殭屍網路的成員,之後遭濫用而能對各種網路服務發動DDoS攻擊。

最近就有類似事故發生,例如3月28日的iThome資安日報,剛好整理到超大型殭屍網路TheMoon崛起的消息,他們在3月初在短短72小時內,綁架超過6千臺華碩路由器,除此之外,還有其他SOHO路由器、物聯網設備遭駭,這些設備都是處於產品生命週期終止、廠商不再提供支援的狀態,截至今年1月為此,這個惡意網路擴展到擁有4萬臺殭屍裝置、遍及88國,規模相當驚人。

若純粹論及IT產品資安漏洞濫用造成的影響,回顧從2020年至今的資安重大事件當中,負責提供遠端安全連線的IPsec或SSL VPN設備,持續佔據資安新聞版面,如Fortinet、Ivanti/Pulse Secure是最大苦主;以應用程式交付控制器(ADC)著稱的F5、Citrix,也常出現在資安公告;而在應用系統方面,不只許多產品搭配的開放原始碼事件記錄元件Log4j,微軟Exchange、VMware的vSphere與Workspace ONE、Atlassian Confluence,也頻頻列為年度重大漏洞。

至於2023年,CISA目前雖然尚未公布,我們決定依據iThome資安日報一年以來持續報導的新聞內容,權衡全球資安弱點關注態勢,以及臺灣多數企業與組織可能採用的IT系統,選出年度十大資安漏洞

就前五大漏洞而言,檔案傳輸管理系統(MFT)漏洞消息近幾年延燒,在2023年,當數MOVEit Transfer漏洞CVE-2023-34362影響最顯著,因為勒索軟體Clop利用這個弱點大舉入侵許多企業與組織,引發軒然大波。

在此之前,就有多個MFT類型產品出現重大漏洞而受到關注,像是Accellion FTA、Fortra GoAnywhere(我們列入2023年第五大漏洞),由於這些產品在臺灣不普及,但我們仍很擔心這把火是否燒到MOVEit,可惜的是,雖有前車之鑑,但危機還是發生了。

以普遍使用程度而言,我們將壓縮軟體WinRAR漏洞CVE-2023-38831,以及網頁瀏覽協定HTTP/2漏洞CVE-2023-44487,列在第四名、第五名;而上述提到的網路與資安系統,占了排行榜大宗,像是應用程式交付控制器Citrix NetScaler郵件伺服器軟體Zimbra防火牆與VPN設備兆勤(Zyxel)、行動裝置管理平臺Ivanti Endpoint Manager Mobile路由器平臺Cisco IOS XE,以及郵件安全閘道Barracuda ESG

「人非聖賢,孰能無過」廠商開發產品、經營市場不容易,更重要的是「知過能改」,不只是關切所供應的產品與服務須有良好品質,用戶導入後的維護與持續使用,更是信任與名譽的長期考驗。

對廠商而言,固然有權決定產品技術支援的廣度、深度,以及持續期間,因此應設法說服用戶更換新機時,還願意繼續信任同一品牌,這取決於廠商自身發展與提供客戶的服務。對用戶而言,也要有產品與服務生命週期概念,需提早規畫汰舊換新的策略,面對既有的IT軟硬體資產,也要關注更新消息,確認汰換升級的實機,而非盲目希望「物盡其用」不願轉移。

當雙方都對彼此有合理的期待與自我要求時,許多IT產品就能在穩健的狀態持續使用,遇到問題,也能互信合作、解決困難。

 相關報導 

專欄作者

熱門新聞

Advertisement