研究人員對21家大型能源公司的外部攻擊面進行了評估,分析了近4萬個IP地址,并對每臺主機的全部65535個端口進行了掃描,調查結果揭示了這些公司存在持續的風險、存在盲點以及使用工具過時等問題。
這些公司總共有58862項服務暴露在互聯網上,其中,約7%的服務(近4000項)在非標準端口上運行,而大多數暴露管理工具的默認掃描并不包含這些端口。
報告稱,這表明存在可見性不足的問題,因為許多安全工具僅掃描排名前5000的端口。
一些已知存在漏洞的服務,如HTTP、SSH、SMTP和DNS,被發現運行在遠非默認的端口上。SixMap總共在非標準端口上發現了304個存在漏洞的服務,其中包括21個已知在野外被利用的CVE(通用漏洞披露)。報告指出,這些漏洞尤其危險,因為安全團隊可能根本不知道該主機的存在,或者不知道該服務正在該主機上運行。
此次研究總共發現了5756個CVE,其中,377個正被攻擊者積極利用。報告指出,大多數CVE從未被利用過,但被利用的CVE應作為優先事項,立即進行修復。
多家公司都存在一部分相同的漏洞。研究人員在21家受評估的能源行業組織中,至少有10家的外部攻擊面上發現了43個獨特的CVE,這些漏洞被視為系統性風險,因為它們可能被用來在整個行業內發起大規模攻擊。
其中一個例子是CVE-2023-38408,這是一個與Silent Chollima相關的嚴重SSH漏洞。在21家公司中,有16家發現了該漏洞,這些漏洞通常運行在21098和41094等晦澀的端口上,這使得檢測變得更加困難,其他共有的CVE還包括過時的Apache服務和Web應用程序中的弱點。
IPv6的暴露增加了另一層風險。報告顯示,盡管許多組織認為自己沒有IPv6資產,但受評估的21家組織中,每一家都至少有一個正在使用的IPv6地址。有些組織超過30%的主機使用IPv6。由于傳統的暴露管理工具無法發現IPv6主機,因此這部分基礎設施往往處于無人監控的狀態。
有一家組織尤為突出,其CVE數量高達2875個,在所有組織中最高,原因是其許多主機和端口上都運行著一個老舊的Apache Web服務。報告指出,我們可以推測這些主機是安全團隊未知的影子IT資產。
調查結果凸顯了傳統安全工具的主要弱點。漏洞管理產品旨在評估主機并檢測漏洞,但通常只掃描排名前1000或前5000的端口,這就為存在漏洞的服務提供了藏身之處。
SixMap建議掃描全部端口范圍、了解IPv6資產情況,并根據風險和已知利用情況對CVE進行優先級排序。報告總結道,對于那些試圖入侵網絡的威脅組織來說,每一個暴露點都可能成為潛在的初始攻擊途徑。
