2021年2月，IBM安全團隊 X-Force發布了《2021威脅情報指數》，報告顯示，漏洞利用成為2020年的首要威脅。

對攻擊者來說，尋找和利用網絡中未打補丁的問題或常見的漏洞和暴露(CVE)是成功率最高的方法，這也是最常見的獲得網絡初始訪問權的途徑。

事實上，漏洞利用的成功率已經超過了釣魚郵件，在很大程度上取代了憑證竊取，成為攻擊者滲透網絡的最可靠方法。

[[388105]]

現狀：新漏洞雖多，但舊漏洞威脅更大

X-Force數據顯示，Citrix服務器的目錄遍歷漏洞(CVE-2019-19871)是2020年被利用最多的漏洞。

雖然這個相對較新的漏洞占據了榜單的Top地位，但在2020年十大被利用最多的漏洞榜單中，以往的安全漏洞占據了主導地位，前10名中只有2個是在2020年發現的。

由于前幾年的安全漏洞仍在對尚未打補丁的設備和組織造成威脅，漏洞的累積效應使得它們遭受攻擊的機率逐年增加。

自1988年以來，每年發現的新漏洞數量總體呈上升趨勢。2020年發現的新漏洞數量為17992個，到2020年底，發現的漏洞總數達到180171個，達到最高點。

1988-2020年每年新發現和累積的漏洞(來源：X-Force Red)

對于安全從業人員來說，快速識別和補救漏洞的重要性迫在眉睫。

未修補的漏洞

2CVE-2006-1547和CVE-2012-0391是2020年最吸引視線的兩個漏洞，它們都是Apache Struts漏洞。在X-Force的2020年最容易被利用的漏洞列表中，這兩個漏洞位列第三和第四。

雖然這兩個漏洞已經被發現15年和9年之久，而且早已有了補救措施，但很多時候它們仍然沒有被修補，攻擊者仍然試圖大量利用它們。每年不斷新增的漏洞數量再加上累積的舊漏洞，對攻擊者來說是一座富礦。

2020年十大漏洞榜單

X-Force根據攻擊者的利用頻率和意圖，對2020年的十大漏洞進行了排名。該排名基于2020年IBM X-Force事件響應(IR)和IBM托管安全服務(MSS)數據。根據研究結果，攻擊者聚焦于企業內網常見的企業應用程序和開源框架。

• CVE-2019-19871：Citrix應用交付控制器(ADC)
• CVE-2018-2006：NoneCMS ThinkPHP遠程代碼執行
• CVE-2006-1547：Apache Struts中的ActionForm漏洞
• CVE-2012-0391：Apache Struts的ExceptionDelegator組件
• CVE-2014-6271：GNU Bash 命令注入
• CVE-2019-0708：Bluekeep微軟遠程桌面服務遠程代碼執行
• CVE-2020-8515：Draytek Vigor命令注入
• CVE-2018-13382和CVE-2018-13379：Fortinet FortiOS不當授權和目錄遍歷漏洞
• CVE-2018-11776: Apache Struts遠程代碼執行
• CVE-2020-5722：HTTP：Grandstream UCM6200 SQL注入

下面詳細探討三大漏洞

1. CVE-2019-19871：Citrix應用交付控制器

該漏洞披露于2019年12月，適用于Citrix ADC、Citrix Gateway和NetScaler Gateway，允許攻擊者在Citrix服務器上執行任意代碼或下載額外的有效載荷，例如允許執行命令和強制密碼的木馬后門。

這個漏洞在IBM的事件響應活動中多次出現，最活躍的是在2020年上半年。僅在2020年第一季度的所有初始妥協中，它就占了25%。在X-Force2020年1月補救的所有攻擊中高達59%。

事實上，在X-Force事件響應活動中，攻擊者利用該漏洞的次數是其他漏洞的15倍。IBM的托管安全服務經常觀察到警報，提示攻擊者正試圖利用該漏洞。

2. CVE-2018-20062：NoneCMS ThinkPHP遠程代碼執行

2020年利用率第二的漏洞是CVE-2018-200662，它允許攻擊者執行任意PHP代碼。X-Force威脅情報分析師觀察到，它主要針對物聯網(IoT)設備。這與IBM預測的2020年針對物聯網的攻擊將大幅上升相吻合。

攻擊者大多利用CVE-2018-2006部署各種惡意軟件，例如SpeakUp后門、Mirai僵尸網絡和各種加密貨幣礦機。

ThinkPHP是一個開源的PHP框架，雖然該漏洞在2018年12月8日的ThinkPHP 5.0.23和5.1.31版本中進行了修補，但2018年12月11日發布的版本中，該漏洞可以被PoC利用，引來攻擊者的持續攻擊。該漏洞遲遲未能修補可能和識別和修補物聯網設備較難有關。

3. CVE-2006-1547：ApacheStruts中的ActionForm漏洞

Struts是一個開源框架，通常用于創建Java網絡應用。該漏洞發現于15年前，它可使Struts網絡應用程序崩潰，從而獲取機密信息。攻擊者意識到該框架的廣泛使用所帶來的機會，并利用了幾個Apache Struts的漏洞。

舊漏洞被越來越頻繁地利用，警示我們要定期掃描網絡應用程序是否存在未修補的漏洞。

未知漏洞怎么辦?

尚未公開的漏洞(包括零日漏洞)持續對企業網絡構成威脅。企業可能通過滲透測試發現未知地漏洞。但X-Force觀察到，與零日漏洞相比，已知的網絡安全漏洞，即使具備緩解方法，仍對企業構成更重大的威脅。

雖然企業不能控制未知漏洞的利用，但他們可以針對已知漏洞采取結構化的行動，將精力集中在這一領域的相對回報率更高。漏洞管理服務可以識別、優先處理和修復現有的漏洞，幫助企業提高其資產的安全性。

如何防止網絡中的漏洞?

漏洞管理很復雜。作決策時，它需要考慮資產、數據分類、業務目標、風險和性能基準等，沒有一個放之四海皆準的解決方案。

有些網絡中的機器和基礎設施具有易被攻擊的特性，需要進行嚴格的測試，以確保在應用更新或補丁時不發生故障。

其他網絡的設備，即使有特定的補丁也最好不要接收。漏洞管理總是在平衡風險，從來都不是簡單的單線程思維。

一些補丁管理措施：

• 了解你的網絡。定期清點網絡中的設備，包括設備、操作系統、應用程序、版本、IP地址、云資產以及這些系統的所有者。建議每季度進行一次。
• 識別風險。使用漏洞管理工具和Crown Jewel Analysis來識別重要資產，并分析哪些漏洞最有可能影響這些資產。
• 在應用補丁之前進行測試。開發一個測試環境，模擬識別補丁部署到企業環境后可能出現的問題。建議在適當的測試設備和資產樣本上應用補丁。
• 部署補丁。在企業環境中部署新修的補丁。一些漏洞管理工具可以實現自動化部署補丁。

參考鏈接(點擊鏈接獲取報告)：

https://securityintelligence.com/posts/top-10-cybersecurity-vulnerabilities-2020/