一份新的报告显示,在一个新的CVE被公开披露后的15分钟内,威胁行为者就会扫描脆弱的端点,这使得系统管理员给暴露的安全漏洞打补丁的时间比以前想象的还要少。
根据 Palo Alto 的 2022 年 Unit 42 事件响应报告,黑客一直在监视软件供应商公告板上是否有新的漏洞公告,他们可以利用这些漏洞公告对公司网络进行初始访问或执行远程代码执行。
然而,威胁参与者开始扫描漏洞的速度为系统管理员增加了压力,因为他们要在漏洞被利用之前迅速修补漏洞。
《2022年攻击面管理威胁报告》发现,攻击者通常会在CVE发布后15分钟内开始扫描漏洞。
由于扫描的要求不是特别高,即使是低技能的攻击者也可以扫描互联网以查找易受攻击的端点,并将他们的发现出售到更有能力的黑客知道如何利用它们的暗网市场上。
然后,在几个小时内,就会观察到第一次积极的攻击尝试,通常攻击的是从未有机会打补丁的系统。
Unit 42 以 CVE-2022-1388 为例,这是一个影响 F5 BIG-IP 产品的严重未经身份验证的远程命令执行漏洞。
该漏洞于 2022 年 5 月 4 日被披露,根据 Unit 42 的说法,自 CVE 公告发布十小时后,他们已记录了 2,552 次扫描和利用尝试。
这是安全维护者和恶意行为者之间的竞赛,随着时间的流逝,任何一方拖延的余地都在减少。
2022 年利用最多的漏洞
根据 Palo Alto 收集的数据,2022 年上半年被利用最多的网络访问漏洞是“ProxyShell”利用链,占记录的利用事件总数的 55%。ProxyShell 是一种通过将三个被跟踪为 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 的漏洞链接在一起来利用的攻击。
Log4Shell 紧随其后,占 14%,各种 SonicWall CVE 占 7%,ProxyLogon 占 5%,而 Zoho ManageEngine ADSelfService Plus中的 RCE在 3% 的案例中被利用。
从这些数据中可以明显看出,大部分的漏洞都是半旧的,而不是最新的。
发生这种情况的原因有很多,包括攻击面大小、利用复杂性和实际影响。
管理员可以快速应用安全更新的更有价值和更好保护的系统会成为0 day 攻击或漏洞披露后立即展开的攻击的目标。
软件漏洞仍是攻击者初始访问的主要途径
软件漏洞利用占将近三分之一,是继网络钓鱼后网络犯罪分子进行初始访问网络的第二大主要原因。可见软件安全漏洞问题的严重性。在15%的案例中,黑客入侵网络的方式是暴力胁迫或使用泄露的证书。最后,10% 的事件是对特权员工使用社会工程技巧或内部人员帮助访问网络。
与时间赛跑
系统管理员、网络管理员和安全专业人员在试图跟上最新的安全威胁和操作系统问题时已经承受着巨大的压力,威胁参与者瞄准他们的设备的速度只会增加额外的压力。
当前,缩短漏洞修补时间需要组织加强补丁管理,以尽快修复已知漏洞。另外,减少软件中的安全漏洞,从开发期间通过代码安全检测工具及开源成分分析等安全测试及时发现软件潜在缺陷并修复,有助于从根源上减少漏洞利用,降低被攻击者访问网络的概率。
在可能的情况下,让设备远离互联网是极其重要的,只通过vpn或其他安全网关公开它们。通过限制对服务器的访问,管理员不仅减少了攻击的风险,而且在内部攻击漏洞之前提供了额外的时间来应用安全更新。不幸的是,有些服务必须公开,这要求管理员通过访问列表尽可能地加强安全性,只公开必要的端口和服务,并尽可能快地应用更新。
虽然快速应用关键更新可能导致停机,但这比全面网络攻击的后果要好得多。
