修補安全漏洞理論上看似乎是一個并不復雜的過程,供應商針對已知的缺陷發布補丁,隨后所有受影響的組織及時應用該補丁看起來就沒問題了。但是,看起來如此簡單的事情只會發生在非常理想的情況下,現實中并非如此。安全企業Rezilion 發布了一份報告,分析了供應商已經修補的舊有漏洞如何仍然對組織持續構成風險。
Rezilion在其報告《Vintage vulnerability Are Still Style》中研究了CISA維護的已知exploit vulnerability Catalog(圖A)。
(圖片來源:Rezilion 按年統計存在的安全漏洞數量)
在名單上的790個漏洞中,有400多個可以追溯到2020年以前。2019年有104個,2018年有70個,2017年有73個。2010年的還有17個。
研究數據顯示,從2010年到2020年發現的漏洞影響了超過450萬個面向互聯網的系統和設備。
對陳舊漏洞的無效補丁管理使公司容易受到攻擊
盡管針對這些“陳舊漏洞”的修復補丁都已經存在多年,但許多用戶和組織仍然沒有修復它們。因此,它們仍然可以被自由利用,給未更新的軟件和設備帶來風險。Rezilion表示,在過去的一個月中,他們發現了針對大多數安全漏洞的主動掃描和利用企圖。
這個問題存在于安全漏洞的生命周期中。一開始,產品中存在的安全缺陷可能會被利用,因為還沒有補丁存在,盡管沒有人會意識到它。如果攻擊者知道了這個漏洞,那么它就被歸類為0day。廠商發布并部署補丁后,仍可利用該漏洞,但只適用于尚未應用補丁的環境。
但是,IT和安全團隊需要了解供應商提供的可用補丁,確定優先應用哪些補丁,并實現用于測試和安裝這些補丁的系統。如果沒有一個有效的補丁管理方法,整個過程很容易在其中的任何一個環節上出錯。精明的攻擊者肯定會意識到這一點,這就是為什么他們繼續利用這些供應商其實早已修復的漏洞而繼續發起攻擊。
在Rezilion的研究中,也列舉了一些攻擊者常用的所謂“經典”安全漏洞,主要有如下幾個:
● CVE - 2012 - 1823
PHP CGI遠程代碼執行是一個驗證漏洞,它允許遠程攻擊者通過在PHP查詢字符串中放入命令行選項來執行代碼。這一缺陷在野外被利用了10年。
● CVE - 2014 - 0160
OpenSSL進程內存敏感信息泄漏漏洞(HeartBleed)影響TLS(Transport Layer Security)擴展。在OpenSSL 1.0.1到1.0.1f之間,這個漏洞會將服務器的內存內數據泄露給客戶端,反之亦然,可以允許互聯網上的任何人使用OpenSSL軟件的脆弱版本讀取這些內容。2014年4月,它被公之于眾。
● CVE - 2015 - 1635
微軟HTTP.sys遠程代碼執行漏洞是Microsoft Internet Information Service (IIS)中的HTTP協議處理模塊(HTTP.sys)存在的漏洞,攻擊者可以通過向易受攻擊的Windows系統發送特殊的HTTP請求來遠程執行代碼。這一漏洞在野外已經活躍了七年多。
● CVE - 2018 - 13379
Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN門戶網站的一個漏洞,可以使遠程攻擊者通過特殊的HTTP資源請求下載FortiProxy系統文件。
● CVE - 2018 - 7600
Drupal遠程代碼執行漏洞(Drupalgeddon2)是一個遠程代碼執行漏洞,影響多個不同版本的Drupal。攻擊者可能會利用這個漏洞迫使運行Drupal的服務器執行惡意代碼,從而破壞安裝。 為了幫助組織更好地管理安全漏洞及相關補丁,Rezilion提供了幾個建議:
首先,組織、企業應建立并應用軟件物料清單(SBOM),以管理好應用程序中所有開源和第三方組件的清單,確保在相關組件出現問題時,能夠及時排查風險,并及時應用供應商發布的相關補丁。
其次,為了保證補丁管理策略的有效性,應該有特定的過程,包括變更控制、測試和質量保證,所有這些過程都可能導致潛在的兼容性問題。在擁有管理流程后,還需要能夠輕松地擴展它,這意味著隨著發現更多的漏洞,需要擴展補丁工作。
再次,需要優先考慮最關鍵的漏洞,由于發現了大量安全缺陷,您不可能對它們全部進行修補。相反,你應該專注于最重要的補丁。優先級由這樣的指標單獨CVSS可能是不夠的。還應該采用一種基于風險的方法(基于風險的漏洞管理),通過這種方法,可以識別高風險漏洞,并將其優先級置于較小的Bug之上。要做到這一點,可以通過已知被利用漏洞目錄或其他威脅情報來源來檢查哪些漏洞正在被利用,然后,確定您的環境中甚至存在哪些漏洞并及時應對,目前國內企業中,零零信安(偏向于EASM)和華云安(偏向于CAASM)都提供了相關的應對策略和解決方案,可以通過引入這種專業力量來快速的幫助你建立有效的應對方案。
最后,要持續監測和評估補丁管理策略,并建立起常態化的環境監控,以確保漏洞被修復,補丁也被正常安裝。
更多信息可以來這里獲取==>>電子技術應用-AET<<
