存在多年的安全漏洞仍然是勒索软件攻击常用的攻击方法,因为企业没有应用补丁来修复这些漏洞。
Qualys的网络安全研究人员检查了近年来勒索软件攻击中最常用的漏洞和暴露 (CVEs) 。他们发现其中一些漏洞已经存在了近十年,并且有供应商的补丁可用。但由于许多组织仍未应用可用的安全更新,因此它们仍然容易受到勒索软件攻击。
在分析中详述的前五个漏洞中最古老的漏洞是 CVE-2012-1723,这是Oracle Java SE 7 中 Java 运行时环境 (JRE) 组件中的一个漏洞,该漏洞于2012年进行了详细说明。据研究人员称,它通常被用于传播Urausy勒索软件。尽管这种勒索软件可进行防范,但由于一些企业没有进行相应的安全补丁更新,仍然容易收到攻击。
另外两个常见的安全漏洞来自2013年,CVE-2013-0431是revton勒索软件利用的JRE漏洞,CVE-2013-1493是Exxroute勒索软件针对的Oracle Java漏洞。在这两种情况下,修复漏洞的补丁已经可用了8年多,但仍高居被利用漏洞前五。
与此同时,CVE-2018-12808是Adobe Acrobat中的一个已有三年历史的漏洞,它被用来通过网络钓鱼邮件和恶意PDF文件发送勒索软件。Ryuk勒索软件和被认为是其继承者的Conti勒索软件都使用这种攻击方法。
列表中的最新漏洞是Adobe CVE-2019-1458,这是一个Windows系统的权限升级漏洞,于2019年12月出现,NetWalker勒索软件组经常利用此漏洞。
对于IT和信息安全团队而言,及时应用保持网络安全所需的所有补丁通常是一场艰苦的战斗,漏洞增加的速度比运营团队修补速度呈指数级高,这是漏洞仍未得到修补的首要驱动因素。
网络攻击者知道,许多企业和机构都在努力打补丁,所以他们积极扫描漏洞,从而为勒索软件和其他网络攻击打下基础。
补丁管理是一个复杂且耗时的过程,但信息安全团队仍旧需要花大量实践进行安全更新,特别是,当这些安全漏洞已经出现被利用的情况。
没有预防勒索软件的完全之策,能目前能做的就是在软件开发期间减少安全漏洞的产生,使用静态代码检测工具等发现缺陷和安全漏洞,提高软件的安全性。漏洞管理的重要组成部分是漏洞察觉、评估,优先级排序和修复的结合。
阿塔耶说:“没有预防勒索软件和修补漏洞的灵丹妙药,但总体而言,推动过程以减少攻击面应该是目标。”
“没有防止勒索软件和修复漏洞的灵丹妙药,但总的来说,减少攻击面的驱动过程应该是目标,”Athalye 说。
“漏洞管理的重要组成部分是漏洞评估、优先级排序和修复的结合。”
参读链接:
