Rezilion 说,可以追溯到 10 多年前的安全漏洞仍然存在,并且仍然存在被自由利用的风险。

Forstock,Shutterstock / Forstock

修补安全漏洞应该是一个简单的过程。供应商针对已知缺陷发布补丁,所有受影响的组织都应用该补丁。但是,理论上看起来很简单的事情在现实中不一定如此。安全公司 Rezilion 于 8 月 8 日星期一发布的一份报告研究了供应商修补的旧漏洞如何仍然对组织构成风险。

威胁格局跨越十年的已知漏洞

在其报告Vintage Vulnerabilities Are Still In Style中,Rezilion 检查了由 CISA(网络安全和基础设施安全局)维护的已知被利用漏洞目录(图 A)。在清单上的 790 个安全漏洞中,有 400 多个可以追溯到 2020 年之前。大约 104 个来自 2019 年,70 个来自 2018 年,73 个来自 2017 年。大约 17 个可以追溯到 2010 年。

图A

图片:Rezilion。每年现有安全漏洞的数量。

从 2010 年到 2020 年发现的漏洞影响了超过 450 万个面向互联网的系统和设备。

老式漏洞的无效补丁管理使公司容易受到攻击

尽管多年来这些“老式漏洞”的修复程序一直可用,但其中许多仍未被客户和组织修补。因此,它们仍然可以被自由利用,从而为尚未更新的软件和设备带来风险。事实上,Rezilion 在过去 30 天内检测到对大多数此类安全漏洞的主动扫描和利用尝试。

该问题存在于安全漏洞的生命周期中。一开始,产品中存在的安全漏洞可能会被利用,因为目前还没有补丁存在,尽管没有人知道它。如果网络犯罪分子确实知道了这个漏洞,那么它就会被归类为零日漏洞。在供应商发布并部署补丁后,该漏洞仍然可以被利用,但仅限于尚未应用补丁的环境中。

但是,IT 和安全团队需要了解供应商提供的可用补丁,确定优先考虑哪些补丁,并实施用于测试和安装这些补丁的系统。如果没有一种有组织且有效的补丁管理方法,整个过程很容易在任何一点上绊倒。精明的网络犯罪分子意识到这一切,这就是他们继续利用供应商早已修复的缺陷的原因。

常用的老式漏洞

以下是 Rezilion 发现的众多老式安全漏洞中的一部分:

CVE-2012-1823

PHP CGI 远程代码执行是一个验证漏洞,它允许远程攻击者通过将命令行选项放入 PHP 查询字符串来执行代码。已知在野外被利用,这个漏洞已经存在了 10 年。

CVE-2014-0160

进程内存漏洞 (HeartBleed) 导致的 OpenSSL 敏感信息泄漏会影响传输层安全性 (TLS) 的心跳扩展。在 OpenSSL 1.0.1 到 1.0.1f 中,此错误可能会将内存内容从服务器泄漏到客户端,反之亦然,从而允许 Internet 上的任何人使用易受攻击的 OpenSSL 软件版本读取该内容。在野外被利用,这个在 2014 年 4 月被公开。

CVE-2015-1635

Microsoft HTTP.sys 远程代码执行漏洞是 Microsoft Internet 信息服务 (IIS) 中 HTTP 协议处理模块 (HTTP.sys) 中的一个缺陷,它可能允许攻击者通过向易受攻击的 Windows 系统发送特殊 HTTP 请求来远程执行代码. 在野外被利用,这个错误已经活跃了七年多。

CVE-2018-13379

Fortinet FortiOS 和 FortiProxy是 FortiProxy SSL VPN 门户网站中的一个漏洞,它可能使远程攻击者能够通过特殊的 HTTP 资源请求下载 FortiProxy 系统文件。在野外被利用,这个漏洞已经存在了四年多。

CVE-2018-7600

Drupal 远程代码执行漏洞(Drupalgeddon2) 是一个影响多个不同版本 Drupal 的远程代码执行漏洞。攻击者可以利用这个漏洞来强制运行 Drupal 的服务器执行可能危及安装的恶意代码。在野外开发,这个已经活跃了四年多。

管理安全漏洞补丁的提示

为了帮助组织更好地管理安全漏洞的修补,Rezilion 提供了几条建议。

注意攻击面

确保您能够通过关联的 CVE 查看现有的攻击面,并且可以识别环境中需要修补的易受攻击的资产。为此,您应该拥有一份软件物料清单 (SBOM),它是您使用的应用程序中所有开源和第三方组件的清单。

使用正确的支持流程备份补丁管理

为了支持有效的补丁管理策略,应该有特定的流程,包括变更控制、测试和质量保证,所有这些都可以解决潜在的兼容性问题。

确保漏洞和补丁管理工作可以扩展

补丁管理流程到位后,您需要能够轻松扩展它。这意味着随着更多漏洞的发现而扩大修补工作。

优先处理最关键的漏洞

鉴于已发现的大量安全漏洞,您不可能全部修补。相反,专注于最重要的补丁。仅通过CVSS等指标进行优先级排序可能还不够。相反,寻找一种基于风险的方法,通过这种方法,您可以识别高风险漏洞并将其优先于小错误。为此,请通过咨询 CISA 的已知已利用漏洞目录或其他威胁情报来源,检查哪些漏洞在野外被利用。然后,确定您的环境中甚至存在哪些漏洞。

持续监控和评估补丁管理策略

监控您的环境以确保漏洞保持修复且补丁保持到位。在某些情况下,Rezilion 发现已经修补的易受攻击的代码通过CI/CD(持续集成和持续部署)流程添加回生产环境的实例。

信息安全 网络安全 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接