周四發(fā)布的《2020年威脅態(tài)勢(shì)回顧》概述了2020年披露或利用的主要漏洞,以及影響這一年的趨勢(shì),包括漏洞和勒索軟件攻擊。該報(bào)告由Tenable的安全響應(yīng)團(tuán)隊(duì)的三名成員編寫,這包括研究工程經(jīng)理ScottCaveza、研究工程師SatnamNarang和研究工程師RodyQuinlan,其中包括截至2020年12月31日的數(shù)據(jù)和披露。
這些研究人員發(fā)現(xiàn)有關(guān)CVE的令人擔(dān)憂的數(shù)據(jù),這些CVE數(shù)量很多且沒有被修復(fù)。在2020年,總共發(fā)現(xiàn)18,358個(gè)新的CVE。根據(jù)該報(bào)告,從2015年到2020年,報(bào)告的CVE數(shù)量以36.6%的年均增長(zhǎng)率增長(zhǎng)。
該報(bào)告稱:“2020年報(bào)告18,358個(gè)CVE,而2019年報(bào)告17,305個(gè),增加6%,比2015年報(bào)告的6,487個(gè)增加183%。在過(guò)去三年中,我們每年報(bào)告的CVE超過(guò)16,000個(gè),這一事實(shí)反映漏洞披露的新常態(tài)。”
報(bào)告稱,未修補(bǔ)的漏洞比零時(shí)漏洞要嚴(yán)重得多。研究人員在報(bào)告中寫道:“這種容易利用的漏洞受到民族國(guó)家行為者和普通的網(wǎng)絡(luò)罪犯的青睞。雖然零日漏洞通常被用于有針對(duì)性攻擊,但攻擊者通常會(huì)利用未修補(bǔ)的漏洞,這構(gòu)成更大的威脅。”
Narang告訴SearchSecurity,現(xiàn)在攻擊者會(huì)利用現(xiàn)有概念驗(yàn)證(PoC)代碼發(fā)現(xiàn)已披露的漏洞,并將其整合到其攻擊中,而不是試圖發(fā)現(xiàn)和開發(fā)零日漏洞。
他表示:“我們都知道,零日漏洞對(duì)攻擊者非常有價(jià)值,但是開發(fā)零日漏洞以及花費(fèi)時(shí)間和精力自行開發(fā)相關(guān)的成本過(guò)高,攻擊者更愿意選擇公開PoC的所有這些未修復(fù)的系統(tǒng)。”
但公共PoC的可用性是決定修復(fù)和緊急程度的重要因素,盡管很多安全團(tuán)隊(duì)僅依賴于通用漏洞評(píng)分系統(tǒng)(CVSS)。該系統(tǒng)評(píng)分為1到10,其中10分是最關(guān)鍵。CVE具有CVSS分?jǐn)?shù),以及名稱和標(biāo)記。但是,根據(jù)該報(bào)告,一些嚴(yán)重但無(wú)名的漏洞被備受矚目的漏洞所掩蓋。
該報(bào)告稱:“熱門漏洞往往會(huì)引起媒體和企業(yè)領(lǐng)導(dǎo)者最多關(guān)注,這給安全專業(yè)人員的響應(yīng)帶來(lái)壓力,即使對(duì)企業(yè)的威脅很小。我們對(duì)2020年備受關(guān)注的漏洞的研究顯示,并非每個(gè)關(guān)鍵漏洞都具有名稱和標(biāo)記。相反,并非每個(gè)帶有名稱和標(biāo)記的漏洞都應(yīng)被視為至關(guān)重要。”
Narang說(shuō),盡管在某些情況下CVSS會(huì)提供幫助,并提供背景信息和輕松引用漏洞的方式,但我們應(yīng)該深入了解更多漏洞細(xì)節(jié)信息,而不只是名稱和標(biāo)記。
他說(shuō):“每當(dāng)你看到CVSS10時(shí),你會(huì)肯定地知道,這是‘我需要放棄正在做的事情,并盡快加以處理的漏洞。’但是并不是每個(gè)值得注意的漏洞都需要引起同等重視。我們想舉的例子是‘Boothole’,這是帶有標(biāo)記和名稱的漏洞,它影響著Linux和Windows設(shè)備,可繞過(guò)安全啟動(dòng)。這是一個(gè)有趣的漏洞,但是從總體上看,這恐怕不是最緊急的漏洞。”
同時(shí),有些關(guān)鍵漏洞卻受到較少關(guān)注。例如,Narang指出OracleWebLogic漏洞,這些漏洞通常作為Oracle關(guān)鍵補(bǔ)丁更新的一部分每季度發(fā)布一次。“這些漏洞的確被利用,有時(shí)是作為零日漏洞,有時(shí)是在研究人員發(fā)布PoC后。這些漏洞沒有名字,但實(shí)際上也很嚴(yán)重。”
新常態(tài)
正如該報(bào)告所顯示,漏洞披露正在迅速增加,Tenable研究人員將其稱為“新常態(tài)”。大量新漏洞的涌現(xiàn)可能是由于更多研究人員、漏洞獵人和企業(yè)在漏洞賞金上花錢。
Narang說(shuō):“我認(rèn)為這是主要因素,漏洞賞金計(jì)劃以及激勵(lì)研究人員發(fā)現(xiàn)和披露漏洞發(fā)揮了重要作用,這里面參與的人越來(lái)越多,基本上都在尋找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要關(guān)注的趨勢(shì)。截至10月30日,在該年度,該報(bào)告共確定730起公共數(shù)據(jù)泄露事件和220億條暴露記錄。此外,超過(guò)35%的零日漏洞是基于瀏覽器,并且發(fā)現(xiàn)18個(gè)勒索軟件團(tuán)伙在運(yùn)行泄漏站點(diǎn)。
研究人員在報(bào)告中寫道:“勒索軟件仍然是當(dāng)今企業(yè)面臨的最大威脅。對(duì)于勒索軟件而言,勒索是關(guān)鍵:勒索軟件仍然是最具破壞性的全球網(wǎng)絡(luò)威脅。”
勒索軟件攻擊加劇未修補(bǔ)漏洞和數(shù)據(jù)泄露。
未修補(bǔ)漏洞使敏感數(shù)據(jù)和系統(tǒng)遭暴露,“為勒索軟件攻擊者提供絕佳機(jī)會(huì)”。該報(bào)告發(fā)現(xiàn),超過(guò)35%的數(shù)據(jù)泄露事故與勒索軟件攻擊有關(guān),“這通常導(dǎo)致巨大的財(cái)務(wù)損失”。
2019年的漏洞仍然在發(fā)揮作用
2020年充斥著攻擊、數(shù)據(jù)泄露事故和安全事件,同時(shí)遠(yuǎn)程辦公人員增加等,但讓Tenable擔(dān)憂的是2019年發(fā)現(xiàn)的漏洞仍然在發(fā)揮作用-特別是虛擬專用網(wǎng)漏洞。
Narang說(shuō):“在2020年的所有18,000個(gè)漏洞中,如果你查看2020年的前五個(gè)漏洞,其中三個(gè)來(lái)自2019年,2019年的這三個(gè)漏洞是你需要重點(diǎn)關(guān)注的漏洞,這是因?yàn)樗鼈內(nèi)匀粯?gòu)成問(wèn)題。”
這包括CVE-2018-13379:FortinetFortiOSSSL虛擬專用網(wǎng)WebPortalInformation,CVE-2019-11510:ArbitraryFileDisclosureinPulseConnectSecure以及CVE-2019-19781:CitrixApplicationDeliveryController(ADC)andGateway。針對(duì)這些漏洞的修復(fù)程序已于2019年發(fā)布。“
這些漏洞正在被非常有決心的國(guó)家行為者利用。我想特別強(qiáng)調(diào)修復(fù)這些漏洞的重要性,因?yàn)檫@是通向你網(wǎng)絡(luò)的網(wǎng)關(guān),對(duì)我們所有人來(lái)說(shuō),這都非常重要。”
對(duì)于整體漏洞披露,在2021年的第一個(gè)月,這種情況似乎沒有改善。Tenable研究人員在周二的博客文章中指出,在2021年的第一個(gè)補(bǔ)丁周二中,微軟修復(fù)83個(gè)CVE,其中10個(gè)被評(píng)為關(guān)鍵。
該博客文章說(shuō):“與2020年1月相比,修補(bǔ)的CVE數(shù)量增加了69%。”
