《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 遥测报告显示--高危漏洞修复速度令人担忧

遥测报告显示--高危漏洞修复速度令人担忧

2021-10-19
来源:网空闲话
关键词: 高危漏洞 遥测

  2020年美国国家漏洞库NVD报告了创纪录数量的新安全漏洞18352个。今年,这个数字可能会更高(到9月30日有14792个)。零日漏洞的问题在于,在供应商和用户都打了补丁之前,它仍然是零日漏洞。

今年有20%的新漏洞被NVD评为“严重程度高”。考虑到恶意行为者利用这些漏洞的速度,Trustwave的研究人员决定调查并报告行业修补漏洞的速度。研究人员选择了一系列引人注目的漏洞,并使用Shodan来检测互联网上仍然存在的漏洞实例。他们分别在7月22日、8月16日和8月31日进行了搜索,以检测打补丁的进展。

  研究人员选择了今年比较典型且严重的七个漏洞进行分析:

  1、MS Exchange Server (ProxyShell和ProxyToken);

  2、Apache Tomcat (HTTP请求走私和QNAP NAS命令注入);

  3、VMware vCenter(多个漏洞);

  4、Pulse Connect(认证旁路);

  5、F5 BIG-IP (RCE漏洞);

  6、MS Exchange Server (ProxyLogon);

  7、Oracle WebLogic Server (RCE);

  结果并不令人有些意外。例如,微软在4月和5月修补了ProxyShell和ProxyToken漏洞,并在7月披露。“截至2021年8月31日,”研究人员说,“Shodan的facet分析报告证实,大约有45K个实例容易受到ProxyShell的攻击。”21.17%的MS Exchange服务器未打补丁。

  搜索显示,截止2021.08.31,绘制出微软Exchange服务器漏洞分布热力图,美国有超过10500台Exchange服务器易受ProxyShell攻击(约23%),其次是德国约18%,英国约6%。

  该模式与其他分析的漏洞相似。到2021年8月31日,超过一半的Apache Tomcat漏洞仍未修补;超过20%的Pulse Connect实例未打补丁。F5和MS ProxyLogon漏洞的实例数量都下降到了5%左右,但自2021年7月22日以来,这两个漏洞的实例数量都只减少了约2%。

  VPN漏洞是非常严重的问题,理应受到用户的高度重视。2021年4月20日,有报道称威胁行为者利用Pulse Connect Secure的零日漏洞。这是一个身份验证绕过漏洞,允许未经身份验证的用户在Pulse Connect安全网关(CVE-2021-22893)上执行远程任意文件执行。在公告发布后的2周内没有补丁可用。Pulse Connect Secure于2021年5月3日发布补丁。该漏洞的CVSS v3得分为10.0,这意味着它具有重大的风险。截至2021年8月4日,Shodan上有6319个Pulse Connect Secure漏洞。近29%的易感病例来自美国,其次是法国和日本,各占9%。中国也有199个实例。

  Oracle WebLogic的漏洞要复杂一些。该软件在2021年1月被甲骨文公司打了补丁。然而,到2021年7月22日,Shodan显示,72%的面向互联网的WebLogic实例没有更新到新版本。但根据实际应用的可利用性,这个数字在8月底下降到5.6%。令人担忧的是,这比2021年8月16日的5.34%只有微弱的变化。

  公司不能快速修补系统的原因有很多。然而,这里需要注意的一点是,网络罪犯使用与Trustwave相同的研究技术,也就是Shodan等互联网扫描工具。Trustwave在这次行动中发现的每一个易受攻击的例子,犯罪团伙也都同样能够找到。那些没有发生漏洞被利用的公司之所以依然如此,很可能是因为攻击者已经挑选了其他目标作为首选攻击目标。就是说只是你的运气好一点点而已。

  Trustwave总结称, 攻击者利用Shodan的遥测技术来收集易受攻击的实例的信息,有时比有道德的黑客还要快。因此,组织必须主动识别漏洞并进行修补。研究团队观察到,在审查的漏洞中,至少有3个发现超过50%的可通过Internet访问的实例是存在漏洞的。事实上,这是在补丁发布几周甚至几个月后的情况。另一个关键观察发现,互联网上的通用支持软件的寿命结束的数量很高。不支持的软件版本没有安全补丁,极大地增加了被利用的风险。在Internet上仍然可以看到启用SMBv1和RDP的Windows目标,使用已弃用的协议和远程访问工具为攻击者提供了容易访问组织攻击表面的机会,突显了薄弱的安全态势。

  研究人员反复强调说:“组织必须主动识别漏洞并进行修补。”这是复杂的,因为组织并不总是知道他们的IT资产的全部——服务器被闲置和遗忘(因此未打补丁),但仍然连接和可从互联网访问,这不是未知的。类似地,新服务器在云中流转起来很容易,用于单个任务(如测试),然后就被抛弃和遗忘,这增加了公司无形的IT资产。这些实际上未知的系统仍然会被Shodan发现,并可能被犯罪分子利用,以获得一个不被发现的立足点进入网络。

  Trustwave说:“拥有最新的资产清单是至关重要的,特别是通过互联网访问的目标。”“对关键漏洞的攻击通常短则不到一天,长则一个月的时间,均可以得手,对于组织来说,使用最新的安全更新持续监控、跟踪和更新资产是很重要的。”




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容