1、2018 年 1 月，计算机中央处理器芯片曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞，影响 Intel、AMD 以及 ARM 等多个厂商的产品，受影响的操作系统平台有Windows、Linux、Android、IOS 以及 Mac OS 等。这两大漏洞分别破坏了用户应用程序和系统内核之间的基本隔离以及不同应用程序之间的隔离。此后在 2018 年 5 月，又先后曝出了至少 8 个新的 CPU 漏洞。攻击者可以利用这些漏洞从虚拟机逃逸进而攻击主机系统。2018 年曝出的 CPU 漏洞广泛涉及了过去 10 年间的绝大部分 CPU 型号，其造成的影响力虽然是里程碑式的，但

2、真实利用相关漏洞进行攻击的案例少之又少。2、 Memcached UDP 端口反射攻击漏洞被利用，Github 遭遇有史以来最大规模 DDoS 攻击Memcached 是一款免费且开源的高性能分布式内存缓存系统，旨在通过减轻数据库负载来加速动态 Web 应用程序的访问速度。由于 Memcached 本身没有权限控制模块，所以对公网开放的 Memcached 服务很容易被攻击者扫描发现。攻击者通过向开启了 UDP 协议支持的 Memcached 服务器发送伪造的 IP 欺骗请求，Memcached 服务器会将大量的响应报文发往目标攻击主机，从而占用目标攻击机器的大量带宽资源，导致拒绝服务。201

3、8 年 3 月，知名代码托管网站 GitHub 因此遭遇了有史以来最严重的 DDoS 网络攻击，峰值流量一度达到 1.35Tbps。3、 WebLogic 反序列化远程代码执行漏洞WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应 用的 Java 应用服务器。从 CVE-2017-3506 开始，WebLogic 接二连三爆出了大量的反序列化漏洞。2018 年，WebLogic 同样曝出多个高危反序列化远程命令执行漏洞，给大量未及时打补丁的客户带来了巨大损失。其中多个漏洞是对于老漏洞的绕过(CVE-2018-3245，CVE-2018-3191，CVE-

4、2018-2893，CVE-2018-2628)。2019 年，CVE-2019-2725 和 CVE-2019-2729 相继曝光，无独有偶，CVE-2019-2729 漏洞是对 CVE-2019-2725 漏洞补丁进行绕过形成的新利用方式，属于 CVE-2019-2725 漏洞的变形绕过。WebLogic 反序列化漏洞经过了一次又一次的修补和一次又一次的绕过，漏洞挖掘者和漏洞防御者之间的博弈从未停止过。在 CVE-2019-2729 之前，WebLogic 的修补措施只是将网上流传的 POC 中比较危险的函数写入黑名单加以控制。但是这些被限制的函数会有许许多多的替代函数，而且每一个替代函数

5、都会轻松地绕过黑名单，导致不断有新的 WebLogic 反序列化漏洞形成。CVE-2019-2729 漏洞后，WebLogic 的修补措施变为白名单机制，相信经过此轮修补后，此类漏洞的利 用范围会越来越窄。4、 ThinkPHP 多个远程代码执行漏洞2018 年 12 月 10 日，ThinkPHP 发布安全更新，修复了一个远程代码执行漏洞。该漏洞是由于 ThinkPHP 框架对控制器名没有进行足够的检测，从而导致攻击者可以实现远程代码执行。该漏洞早在 2018 年 9 月尚处于 0day 阶段就已经被用于攻击，并且在漏洞曝光后的一周左右就已经被整合到恶意样本中，通过蠕虫的方式在互联网传播。时

6、隔一个月后，ThinkPHP 再曝 Request 类远程命令执行漏洞。该漏洞是由于 Request类的 method 函数控制松散，导致可以通过变量覆盖实现对任意函数进行调用，并且$_POST 将作为函数的参数传入，最终通过 filterValue()方法中的回调函数 call_user_func()触发漏洞，实现远程命令执行。5、 Flash 多个在野 0day 漏洞被 APT 组织野外利用2018 年 2 月 1 日，Adobe 官方发布了安全通告(APSA18-01)称一个最新的 Adobe Flash 0Day 漏洞(CVE-2018-4878)已经存在野外利用。野外攻击样本最早由韩

7、国 CERT 发现。2018 年 3 月，Lazarus 组织使用 CVE-2018-4878 通过传播暗藏 FALLCHILL 远程控制木马的恶意 DOC 文档多次发起鱼叉攻击，对象主要为国外数字货币交易所。CVE-2018-5002 则在 2018 年 6 月 7 日被发现野外利用，由 APT 组织 Hacking Team 通过即时聊天工具或邮箱发送包含外交部官员基本工资情况的钓鱼文档进行攻击，诱饵文档打开后会在宿主进程 Excel 中执行恶意代码，并利用假冒网站作为木马下载站达成进攻目的。2018 年 11 月 29 日，“刻赤海峡”事件后稍晚时间，安全厂商发现了一起针对俄罗斯的APT

8、 攻击行动。此次攻击样本来源于乌克兰，攻击目标则指向俄罗斯联邦总统事务管理局所 属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档，该文档使用最新的 Flash 0day 漏洞(CVE-2018-15982)和带有自毁功能的专属木马程序进行攻击。6、 多个区块链智能合约漏洞传统软件领域的漏洞可能被利用来发起网络攻击，造成数据、隐私的泄露甚至实际生活的影响。数字货币本身是一套金融体系，数字货币和区块链网络中的安全漏洞，往往会有更严重、更直接的影响。由于区块链网络去中心化的计算特点，一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。2018 年年中，BEC、SocialChai

9、n、Hexagon、EOS 等接连曝出智能合约漏洞，攻击者通过构造并发布包含恶意代码智能合约，进而控制网络中所有节点，控制虚拟货币交易，获取交易所中的数字货币，关键的用户资料和隐私数据等。7、 Apache Struts2 远程代码执行漏洞Struts 是 Apache 软件基金会(ASF)赞助的一个开源项目。它最初是 Jakarta 项目中的一个子项目，并在 2004 年 3 月成为 ASF 的顶级项目。它通过采用 JavaServlet/JSP 技术，实现了基于 JavaEE Web 应用的 MVC 设计模式的应用框架，是 MVC 经典设计模式中的一个经典产品。自 2007 年 7 月 23 日 Struts2 的第一个漏洞被曝出之后，全球的安全研究者对于 Struts2 的研究就从未停止过。在此后的多年中，几乎每年都有新漏洞曝光，并呈现逐年递增的态势。到 2016 年，漏洞数量达到顶峰。2017 年漏洞数量稍有下降，但也同样保持在两位数的水平。2018 年仅曝光了两个高危 Struts2 漏洞。