周四發(fā)布的《2020年威脅態(tài)勢回顧》概述了2020年披露或利用的主要漏洞,以及影響這一年的趨勢,包括漏洞和勒索軟件攻擊。該報告由Tenable的安全響應(yīng)團(tuán)隊的三名成員編寫,這包括研究工程經(jīng)理ScottCaveza、研究工程師SatnamNarang和研究工程師RodyQuinlan,其中包括截至2020年12月31日的數(shù)據(jù)和披露。
這些研究人員發(fā)現(xiàn)有關(guān)CVE的令人擔(dān)憂的數(shù)據(jù),這些CVE數(shù)量很多且沒有被修復(fù)。在2020年,總共發(fā)現(xiàn)18,358個新的CVE。根據(jù)該報告,從2015年到2020年,報告的CVE數(shù)量以36.6%的年均增長率增長。
該報告稱:“2020年報告18,358個CVE,而2019年報告17,305個,增加6%,比2015年報告的6,487個增加183%。在過去三年中,我們每年報告的CVE超過16,000個,這一事實反映漏洞披露的新常態(tài)。”
報告稱,未修補的漏洞比零時漏洞要嚴(yán)重得多。研究人員在報告中寫道:“這種容易利用的漏洞受到民族國家行為者和普通的網(wǎng)絡(luò)罪犯的青睞。雖然零日漏洞通常被用于有針對性攻擊,但攻擊者通常會利用未修補的漏洞,這構(gòu)成更大的威脅。”
Narang告訴SearchSecurity,現(xiàn)在攻擊者會利用現(xiàn)有概念驗證(PoC)代碼發(fā)現(xiàn)已披露的漏洞,并將其整合到其攻擊中,而不是試圖發(fā)現(xiàn)和開發(fā)零日漏洞。
他表示:“我們都知道,零日漏洞對攻擊者非常有價值,但是開發(fā)零日漏洞以及花費時間和精力自行開發(fā)相關(guān)的成本過高,攻擊者更愿意選擇公開PoC的所有這些未修復(fù)的系統(tǒng)。”
但公共PoC的可用性是決定修復(fù)和緊急程度的重要因素,盡管很多安全團(tuán)隊僅依賴于通用漏洞評分系統(tǒng)(CVSS)。該系統(tǒng)評分為1到10,其中10分是最關(guān)鍵。CVE具有CVSS分?jǐn)?shù),以及名稱和標(biāo)記。但是,根據(jù)該報告,一些嚴(yán)重但無名的漏洞被備受矚目的漏洞所掩蓋。
該報告稱:“熱門漏洞往往會引起媒體和企業(yè)領(lǐng)導(dǎo)者最多關(guān)注,這給安全專業(yè)人員的響應(yīng)帶來壓力,即使對企業(yè)的威脅很小。我們對2020年備受關(guān)注的漏洞的研究顯示,并非每個關(guān)鍵漏洞都具有名稱和標(biāo)記。相反,并非每個帶有名稱和標(biāo)記的漏洞都應(yīng)被視為至關(guān)重要。”
Narang說,盡管在某些情況下CVSS會提供幫助,并提供背景信息和輕松引用漏洞的方式,但我們應(yīng)該深入了解更多漏洞細(xì)節(jié)信息,而不只是名稱和標(biāo)記。
他說:“每當(dāng)你看到CVSS10時,你會肯定地知道,這是‘我需要放棄正在做的事情,并盡快加以處理的漏洞。’但是并不是每個值得注意的漏洞都需要引起同等重視。我們想舉的例子是‘Boothole’,這是帶有標(biāo)記和名稱的漏洞,它影響著Linux和Windows設(shè)備,可繞過安全啟動。這是一個有趣的漏洞,但是從總體上看,這恐怕不是最緊急的漏洞。”
同時,有些關(guān)鍵漏洞卻受到較少關(guān)注。例如,Narang指出OracleWebLogic漏洞,這些漏洞通常作為Oracle關(guān)鍵補丁更新的一部分每季度發(fā)布一次。“這些漏洞的確被利用,有時是作為零日漏洞,有時是在研究人員發(fā)布PoC后。這些漏洞沒有名字,但實際上也很嚴(yán)重。”
新常態(tài)
正如該報告所顯示,漏洞披露正在迅速增加,Tenable研究人員將其稱為“新常態(tài)”。大量新漏洞的涌現(xiàn)可能是由于更多研究人員、漏洞獵人和企業(yè)在漏洞賞金上花錢。
Narang說:“我認(rèn)為這是主要因素,漏洞賞金計劃以及激勵研究人員發(fā)現(xiàn)和披露漏洞發(fā)揮了重要作用,這里面參與的人越來越多,基本上都在尋找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要關(guān)注的趨勢。截至10月30日,在該年度,該報告共確定730起公共數(shù)據(jù)泄露事件和220億條暴露記錄。此外,超過35%的零日漏洞是基于瀏覽器,并且發(fā)現(xiàn)18個勒索軟件團(tuán)伙在運行泄漏站點。
研究人員在報告中寫道:“勒索軟件仍然是當(dāng)今企業(yè)面臨的最大威脅。對于勒索軟件而言,勒索是關(guān)鍵:勒索軟件仍然是最具破壞性的全球網(wǎng)絡(luò)威脅。”
勒索軟件攻擊加劇未修補漏洞和數(shù)據(jù)泄露。
未修補漏洞使敏感數(shù)據(jù)和系統(tǒng)遭暴露,“為勒索軟件攻擊者提供絕佳機會”。該報告發(fā)現(xiàn),超過35%的數(shù)據(jù)泄露事故與勒索軟件攻擊有關(guān),“這通常導(dǎo)致巨大的財務(wù)損失”。
2019年的漏洞仍然在發(fā)揮作用
2020年充斥著攻擊、數(shù)據(jù)泄露事故和安全事件,同時遠(yuǎn)程辦公人員增加等,但讓Tenable擔(dān)憂的是2019年發(fā)現(xiàn)的漏洞仍然在發(fā)揮作用-特別是虛擬專用網(wǎng)漏洞。
Narang說:“在2020年的所有18,000個漏洞中,如果你查看2020年的前五個漏洞,其中三個來自2019年,2019年的這三個漏洞是你需要重點關(guān)注的漏洞,這是因為它們?nèi)匀粯?gòu)成問題。”
這包括CVE-2018-13379:FortinetFortiOSSSL虛擬專用網(wǎng)WebPortalInformation,CVE-2019-11510:ArbitraryFileDisclosureinPulseConnectSecure以及CVE-2019-19781:CitrixApplicationDeliveryController(ADC)andGateway。針對這些漏洞的修復(fù)程序已于2019年發(fā)布。“
這些漏洞正在被非常有決心的國家行為者利用。我想特別強調(diào)修復(fù)這些漏洞的重要性,因為這是通向你網(wǎng)絡(luò)的網(wǎng)關(guān),對我們所有人來說,這都非常重要。”
對于整體漏洞披露,在2021年的第一個月,這種情況似乎沒有改善。Tenable研究人員在周二的博客文章中指出,在2021年的第一個補丁周二中,微軟修復(fù)83個CVE,其中10個被評為關(guān)鍵。
該博客文章說:“與2020年1月相比,修補的CVE數(shù)量增加了69%。”
