2020年美國(guó)國(guó)家漏洞庫(kù)NVD報(bào)告了創(chuàng)紀(jì)錄數(shù)量的新安全漏洞18352個(gè)。今年,這個(gè)數(shù)字可能會(huì)更高(到9月30日有14792個(gè))。零日漏洞的問(wèn)題在于,在供應(yīng)商和用戶都打了補(bǔ)丁之前,它仍然是零日漏洞。
今年有20%的新漏洞被NVD評(píng)為“嚴(yán)重程度高”??紤]到惡意行為者利用這些漏洞的速度,Trustwave的研究人員決定調(diào)查并報(bào)告行業(yè)修補(bǔ)漏洞的速度。研究人員選擇了一系列引人注目的漏洞,并使用Shodan來(lái)檢測(cè)互聯(lián)網(wǎng)上仍然存在的漏洞實(shí)例。他們分別在7月22日、8月16日和8月31日進(jìn)行了搜索,以檢測(cè)打補(bǔ)丁的進(jìn)展。
研究人員選擇了今年比較典型且嚴(yán)重的七個(gè)漏洞進(jìn)行分析:
1、MS Exchange Server (ProxyShell和ProxyToken);
2、Apache Tomcat (HTTP請(qǐng)求走私和QNAP NAS命令注入);
3、VMware vCenter(多個(gè)漏洞);
4、Pulse Connect(認(rèn)證旁路);
5、F5 BIG-IP (RCE漏洞);
6、MS Exchange Server (ProxyLogon);
7、Oracle WebLogic Server (RCE);
結(jié)果并不令人有些意外。例如,微軟在4月和5月修補(bǔ)了ProxyShell和ProxyToken漏洞,并在7月披露。“截至2021年8月31日,”研究人員說(shuō),“Shodan的facet分析報(bào)告證實(shí),大約有45K個(gè)實(shí)例容易受到ProxyShell的攻擊?!?1.17%的MS Exchange服務(wù)器未打補(bǔ)丁。
搜索顯示,截止2021.08.31,繪制出微軟Exchange服務(wù)器漏洞分布熱力圖,美國(guó)有超過(guò)10500臺(tái)Exchange服務(wù)器易受ProxyShell攻擊(約23%),其次是德國(guó)約18%,英國(guó)約6%。
該模式與其他分析的漏洞相似。到2021年8月31日,超過(guò)一半的Apache Tomcat漏洞仍未修補(bǔ);超過(guò)20%的Pulse Connect實(shí)例未打補(bǔ)丁。F5和MS ProxyLogon漏洞的實(shí)例數(shù)量都下降到了5%左右,但自2021年7月22日以來(lái),這兩個(gè)漏洞的實(shí)例數(shù)量都只減少了約2%。
VPN漏洞是非常嚴(yán)重的問(wèn)題,理應(yīng)受到用戶的高度重視。2021年4月20日,有報(bào)道稱威脅行為者利用Pulse Connect Secure的零日漏洞。這是一個(gè)身份驗(yàn)證繞過(guò)漏洞,允許未經(jīng)身份驗(yàn)證的用戶在Pulse Connect安全網(wǎng)關(guān)(CVE-2021-22893)上執(zhí)行遠(yuǎn)程任意文件執(zhí)行。在公告發(fā)布后的2周內(nèi)沒(méi)有補(bǔ)丁可用。Pulse Connect Secure于2021年5月3日發(fā)布補(bǔ)丁。該漏洞的CVSS v3得分為10.0,這意味著它具有重大的風(fēng)險(xiǎn)。截至2021年8月4日,Shodan上有6319個(gè)Pulse Connect Secure漏洞。近29%的易感病例來(lái)自美國(guó),其次是法國(guó)和日本,各占9%。中國(guó)也有199個(gè)實(shí)例。
Oracle WebLogic的漏洞要復(fù)雜一些。該軟件在2021年1月被甲骨文公司打了補(bǔ)丁。然而,到2021年7月22日,Shodan顯示,72%的面向互聯(lián)網(wǎng)的WebLogic實(shí)例沒(méi)有更新到新版本。但根據(jù)實(shí)際應(yīng)用的可利用性,這個(gè)數(shù)字在8月底下降到5.6%。令人擔(dān)憂的是,這比2021年8月16日的5.34%只有微弱的變化。
公司不能快速修補(bǔ)系統(tǒng)的原因有很多。然而,這里需要注意的一點(diǎn)是,網(wǎng)絡(luò)罪犯使用與Trustwave相同的研究技術(shù),也就是Shodan等互聯(lián)網(wǎng)掃描工具。Trustwave在這次行動(dòng)中發(fā)現(xiàn)的每一個(gè)易受攻擊的例子,犯罪團(tuán)伙也都同樣能夠找到。那些沒(méi)有發(fā)生漏洞被利用的公司之所以依然如此,很可能是因?yàn)楣粽咭呀?jīng)挑選了其他目標(biāo)作為首選攻擊目標(biāo)。就是說(shuō)只是你的運(yùn)氣好一點(diǎn)點(diǎn)而已。
Trustwave總結(jié)稱, 攻擊者利用Shodan的遙測(cè)技術(shù)來(lái)收集易受攻擊的實(shí)例的信息,有時(shí)比有道德的黑客還要快。因此,組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ)。研究團(tuán)隊(duì)觀察到,在審查的漏洞中,至少有3個(gè)發(fā)現(xiàn)超過(guò)50%的可通過(guò)Internet訪問(wèn)的實(shí)例是存在漏洞的。事實(shí)上,這是在補(bǔ)丁發(fā)布幾周甚至幾個(gè)月后的情況。另一個(gè)關(guān)鍵觀察發(fā)現(xiàn),互聯(lián)網(wǎng)上的通用支持軟件的壽命結(jié)束的數(shù)量很高。不支持的軟件版本沒(méi)有安全補(bǔ)丁,極大地增加了被利用的風(fēng)險(xiǎn)。在Internet上仍然可以看到啟用SMBv1和RDP的Windows目標(biāo),使用已棄用的協(xié)議和遠(yuǎn)程訪問(wèn)工具為攻擊者提供了容易訪問(wèn)組織攻擊表面的機(jī)會(huì),突顯了薄弱的安全態(tài)勢(shì)。
研究人員反復(fù)強(qiáng)調(diào)說(shuō):“組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ)?!边@是復(fù)雜的,因?yàn)榻M織并不總是知道他們的IT資產(chǎn)的全部——服務(wù)器被閑置和遺忘(因此未打補(bǔ)?。匀贿B接和可從互聯(lián)網(wǎng)訪問(wèn),這不是未知的。類似地,新服務(wù)器在云中流轉(zhuǎn)起來(lái)很容易,用于單個(gè)任務(wù)(如測(cè)試),然后就被拋棄和遺忘,這增加了公司無(wú)形的IT資產(chǎn)。這些實(shí)際上未知的系統(tǒng)仍然會(huì)被Shodan發(fā)現(xiàn),并可能被犯罪分子利用,以獲得一個(gè)不被發(fā)現(xiàn)的立足點(diǎn)進(jìn)入網(wǎng)絡(luò)。
Trustwave說(shuō):“擁有最新的資產(chǎn)清單是至關(guān)重要的,特別是通過(guò)互聯(lián)網(wǎng)訪問(wèn)的目標(biāo)。”“對(duì)關(guān)鍵漏洞的攻擊通常短則不到一天,長(zhǎng)則一個(gè)月的時(shí)間,均可以得手,對(duì)于組織來(lái)說(shuō),使用最新的安全更新持續(xù)監(jiān)控、跟蹤和更新資產(chǎn)是很重要的?!?/p>