最近,根据一项针对应用程序漏洞的调查研究显示,软件中高危漏洞的涌现速度,要比企业安全团队所能对其进行响应的速度更快,这项研究提醒我们,网络犯罪分子的目标仍然是过时软件,而这些软件一般不太可能在软件修复过程中被优先考虑。
作为Tenable最新《漏洞情报报告》(VIR)的一部分,对常见漏洞和CVE数据库的审查结果发现,2017年全年共报告了15,038个新漏洞,此外,与去年同期相比,今年上半年的漏洞新增率增长了27%。
这一增长率意味着,今年一整年可能会发现超过18,000个新漏洞——并且大约61%的已发现漏洞已被评级为“高危漏洞”,企业应用程序管理者必须优先考虑在960个资产上平均每天修补870个CVE。
该报告指出,管理漏洞是一项规模、速度和数量等多重挑战并存的任务。它不仅仅是一项工程挑战,还需要一种“以风险为中心”的观点来优先考虑表面上看似相同的数千个漏洞。
Tenable公司的分析报告警告称,即便企业只能解决严重风险评级的漏洞——严重程度为9.0-10.0的漏洞——他们仍然不得不在年底前处理900多个此类漏洞(高危漏洞占据全年发现新漏洞总数的60%以上)。
此外,Tenable还发布了Top20漏洞排行,凸显了在实际网络扫描中最常见的漏洞类型。其中一些是专门针对应用程序的,而另一些则是继续使用过时的协议:例如,27%的企业仍在使用旧的和不安全的SSLv2和SSLv3版本运行服务。
报告显示,红帽企业版Linux(Red Hat Enterprise Linux,简称RHEL)具有最高风险等级的漏洞,Orace Linux 和Novell SUSE Linux风险水平差不多,CentOS Linux几乎与微软操作系统风险水平相当。
Mozilla的Firefox浏览器在高危CVE中的比例最高,而Adobe和Google的曝光率也是受到了高危问题的影响。
令人担忧的现实是,猖獗而持续存在的漏洞问题,不仅会对企业本身构成严重威胁——网络犯罪分子针对制造业和媒体组织等部门的攻击行为越来越具有破坏性,且未修复的漏洞也可能会使企业腹背受敌——还可以被攻击者用于向附属企业发起“跳板攻击”,进一步扩大受灾面。
根据Carbon Black(一家事件响应和威胁狩猎公司)最近发布的《季度事件响应威胁报告》(QIRTR)指出,在分析的所有攻击事件中,有一半涉及上述的“跳板攻击”(island hopping),此外,30%的受访者认为受害者网站被转变为“水坑”,其中受到攻击的网络被用于攻击网络中的关联企业。
这就意味着,不仅贵公司的数据会面临风险,您的客户、合作伙伴以及供应链中其他任何一方的数据都会面临同样的威胁。
Carbon Black公司还发现,一些使用率和安装率较高的工具通常都能为攻击者提供横向移动的能力。其中89%的受访黑客称PowerShell在该方面十分好用,65%的受访者则习惯利用WMI工具。
如今,无处不在的此类工具正在通过常用的应用程序进一步推动外部攻击。根据Tenable Top 20漏洞榜单揭示,最常见的漏洞是CVE-2018-8202,这是一个影响Microsoft应用程序的.NET Framework特权提升漏洞 – 在接受扫描的32%的企业环境中都可以找到此类漏洞。
此外,在接受扫描的至少28%的企业环境中,还发现了Google Chrome基于堆栈的缓冲区溢出漏洞,Microsoft Internet Explorer VBScript漏洞,可用于获取提升权限的Oracle Java DB漏洞;以及Microsoft .NET Framework漏洞,该漏洞可被用于绕过该平台的Device Guard框架。
Tenable《漏洞情报报告》(VIR)报告全文:
https://www.tenable.com/cyber-exposure/vulnerability-intelligence