Tenable:過去5年中漏洞披露激增
根據Tenable最新研究顯示,在過去五年中,已披露漏洞的數量增加183%。
周四發布的《2020年威脅態勢回顧》概述了2020年披露或利用的主要漏洞,以及影響這一年的趨勢,包括漏洞和勒索軟件攻擊。該報告由Tenable的安全響應團隊的三名成員編寫,這包括研究工程經理Scott Caveza、研究工程師Satnam Narang和研究工程師Rody Quinlan,其中包括截至2020年12月31日的數據和披露。
這些研究人員發現有關CVE的令人擔憂的數據,這些CVE數量很多且沒有被修復。在2020年,總共發現18,358個新的CVE。根據該報告,從2015年到2020年,報告的CVE數量以36.6%的年均增長率增長。
該報告稱:“2020年報告18,358個CVE,而2019年報告17,305個,增加6%,比2015年報告的6,487個增加183%。在過去三年中,我們每年報告的CVE超過16,000個,這一事實反映漏洞披露的新常態。”
報告稱,未修補的漏洞比零時漏洞要嚴重得多。研究人員在報告中寫道:“這種容易利用的漏洞受到民族國家行為者和普通的網絡罪犯的青睞。雖然零日漏洞通常被用于有針對性攻擊,但攻擊者通常會利用未修補的漏洞,這構成更大的威脅。”
Narang告訴SearchSecurity,現在攻擊者會利用現有概念驗證(PoC)代碼發現已披露的漏洞,并將其整合到其攻擊中,而不是試圖發現和開發零日漏洞。
他表示:“我們都知道,零日漏洞對攻擊者非常有價值,但是開發零日漏洞以及花費時間和精力自行開發相關的成本過高,攻擊者更愿意選擇公開PoC的所有這些未修復的系統。”
但公共PoC的可用性是決定修復和緊急程度的重要因素,盡管很多安全團隊僅依賴于通用漏洞評分系統(CVSS)。該系統評分為1到10,其中10分是最關鍵。CVE具有CVSS分數,以及名稱和標記。但是,根據該報告,一些嚴重但無名的漏洞被備受矚目的漏洞所掩蓋。
該報告稱:“熱門漏洞往往會引起媒體和企業領導者最多關注,這給安全專業人員的響應帶來壓力,即使對企業的威脅很小。我們對2020年備受關注的漏洞的研究顯示,并非每個關鍵漏洞都具有名稱和標記。相反,并非每個帶有名稱和標記的漏洞都應被視為至關重要。”
Narang說,盡管在某些情況下CVSS會提供幫助,并提供背景信息和輕松引用漏洞的方式,但我們應該深入了解更多漏洞細節信息,而不只是名稱和標記。
他說:“每當你看到CVSS 10時,你會肯定地知道,這是‘我需要放棄正在做的事情,并盡快加以處理的漏洞。’但是并不是每個值得注意的漏洞都需要引起同等重視。我們想舉的例子是‘Boothole’,這是帶有標記和名稱的漏洞,它影響著Linux和Windows設備,可繞過安全啟動。這是一個有趣的漏洞,但是從總體上看,這恐怕不是最緊急的漏洞。”
同時,有些關鍵漏洞卻受到較少關注。例如,Narang指出Oracle Web Logic漏洞,這些漏洞通常作為Oracle關鍵補丁更新的一部分每季度發布一次。“這些漏洞的確被利用,有時是作為零日漏洞,有時是在研究人員發布PoC后。這些漏洞沒有名字,但實際上也很嚴重。”
新常態
正如該報告所顯示,漏洞披露正在迅速增加,Tenable研究人員將其稱為“新常態”。大量新漏洞的涌現可能是由于更多研究人員、漏洞獵人和企業在漏洞賞金上花錢。
Narang說:“我認為這是主要因素,漏洞賞金計劃以及激勵研究人員發現和披露漏洞發揮了重要作用,這里面參與的人越來越多,基本上都在尋找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要關注的趨勢。截至10月30日,在該年度,該報告共確定730起公共數據泄露事件和220億條暴露記錄。此外,超過35%的零日漏洞是基于瀏覽器,并且發現18個勒索軟件團伙在運行泄漏站點。
研究人員在報告中寫道:“勒索軟件仍然是當今企業面臨的最大威脅。對于勒索軟件而言,勒索是關鍵:勒索軟件仍然是最具破壞性的全球網絡威脅。”
勒索軟件攻擊加劇未修補漏洞和數據泄露。
未修補漏洞使敏感數據和系統遭暴露,“為勒索軟件攻擊者提供絕佳機會”。該報告發現,超過35%的數據泄露事故與勒索軟件攻擊有關,“這通常導致巨大的財務損失”。
2019年的漏洞仍然在發揮作用
2020年充斥著攻擊、數據泄露事故和安全事件,同時遠程辦公人員增加等,但讓Tenable擔憂的是2019年發現的漏洞仍然在發揮作用-特別是虛擬專用網漏洞。
Narang說:“在2020年的所有18,000個漏洞中,如果你查看2020年的前五個漏洞,其中三個來自2019年,2019年的這三個漏洞是你需要重點關注的漏洞,這是因為它們仍然構成問題。”
這包括CVE-2018-13379:Fortinet FortiOS SSL虛擬專用網 Web Portal Information,CVE-2019-11510:Arbitrary File Disclosure in Pulse Connect Secure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC) and Gateway。針對這些漏洞的修復程序已于2019年發布。 “
這些漏洞正在被非常有決心的國家行為者利用。我想特別強調修復這些漏洞的重要性,因為這是通向你網絡的網關,對我們所有人來說,這都非常重要。”
對于整體漏洞披露,在2021年的第一個月,這種情況似乎沒有改善。Tenable研究人員在周二的博客文章中指出,在2021年的第一個補丁周二中,微軟修復83個CVE,其中10個被評為關鍵。
該博客文章說:“與2020年1月相比,修補的CVE數量增加了69%。”
