Rezilion在其报告《Vintage vulnerability Are Still Style》中研究了CISA维护的已知exploit vulnerability Catalog(图A)。
(图片来源:Rezilion 按年统计存在的安全漏洞数量)
在名单上的790个漏洞中,有400多个可以追溯到2020年以前。2019年有104个,2018年有70个,2017年有73个。2010年的还有17个。
研究数据显示,从2010年到2020年发现的漏洞影响了超过450万个面向互联网的系统和设备。
对陈旧漏洞的无效补丁管理使公司容易受到攻击
尽管针对这些“陈旧漏洞”的修复补丁都已经存在多年,但许多用户和组织仍然没有修复它们。因此,它们仍然可以被自由利用,给未更新的软件和设备带来风险。Rezilion表示,在过去的一个月中,他们发现了针对大多数安全漏洞的主动扫描和利用企图。
这个问题存在于安全漏洞的生命周期中。一开始,产品中存在的安全缺陷可能会被利用,因为还没有补丁存在,尽管没有人会意识到它。如果攻击者知道了这个漏洞,那么它就被归类为0day。厂商发布并部署补丁后,仍可利用该漏洞,但只适用于尚未应用补丁的环境。
但是,IT和安全团队需要了解供应商提供的可用补丁,确定优先应用哪些补丁,并实现用于测试和安装这些补丁的系统。如果没有一个有效的补丁管理方法,整个过程很容易在其中的任何一个环节上出错。精明的攻击者肯定会意识到这一点,这就是为什么他们继续利用这些供应商其实早已修复的漏洞而继续发起攻击。
在Rezilion的研究中,也列举了一些攻击者常用的所谓“经典”安全漏洞,主要有如下几个:
CVE - 2012 - 1823
PHP CGI远程代码执行是一个验证漏洞,它允许远程攻击者通过在PHP查询字符串中放入命令行选项来执行代码。这一缺陷在野外被利用了10年。
CVE - 2014 - 0160
OpenSSL进程内存敏感信息泄漏漏洞(HeartBleed)影响TLS(Transport Layer Security)扩展。在OpenSSL 1.0.1到1.0.1f之间,这个漏洞会将服务器的内存内数据泄露给客户端,反之亦然,可以允许互联网上的任何人使用OpenSSL软件的脆弱版本读取这些内容。2014年4月,它被公之于众。
CVE - 2015 - 1635
微软HTTP.sys远程代码执行漏洞是Microsoft Internet Information Service (IIS)中的HTTP协议处理模块(HTTP.sys)存在的漏洞,攻击者可以通过向易受攻击的Windows系统发送特殊的HTTP请求来远程执行代码。这一漏洞在野外已经活跃了七年多。
CVE - 2018 - 13379
Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN门户网站的一个漏洞,可以使远程攻击者通过特殊的HTTP资源请求下载FortiProxy系统文件。
CVE - 2018 - 7600
Drupal远程代码执行漏洞(Drupalgeddon2)是一个远程代码执行漏洞,影响多个不同版本的Drupal。攻击者可能会利用这个漏洞迫使运行Drupal的服务器执行恶意代码,从而破坏安装。
为了帮助组织更好地管理安全漏洞及相关补丁,Rezilion提供了几个建议:
首先,组织、企业应建立并应用软件物料清单(SBOM),以管理好应用程序中所有开源和第三方组件的清单,确保在相关组件出现问题时,能够及时排查风险,并及时应用供应商发布的相关补丁。
其次,为了保证补丁管理策略的有效性,应该有特定的过程,包括变更控制、测试和质量保证,所有这些过程都可能导致潜在的兼容性问题。在拥有管理流程后,还需要能够轻松地扩展它,这意味着随着发现更多的漏洞,需要扩展补丁工作。
再次,需要优先考虑最关键的漏洞,由于发现了大量安全缺陷,您不可能对它们全部进行修补。相反,你应该专注于最重要的补丁。优先级由这样的指标单独CVSS可能是不够的。还应该采用一种基于风险的方法(基于风险的漏洞管理),通过这种方法,可以识别高风险漏洞,并将其优先级置于较小的Bug之上。要做到这一点,可以通过已知被利用漏洞目录或其他威胁情报来源来检查哪些漏洞正在被利用,然后,确定您的环境中甚至存在哪些漏洞并及时应对,目前国内企业中,零零信安(偏向于EASM)和华云安(偏向于CAASM)都提供了相关的应对策略和解决方案,可以通过引入这种专业力量来快速的帮助你建立有效的应对方案。
最后,要持续监测和评估补丁管理策略,并建立起常态化的环境监控,以确保漏洞被修复,补丁也被正常安装。