Tenable:過(guò)去5年中漏洞披露激增
發(fā)布時(shí)間:2021-07-06 23:14
來(lái)源:TechTarget中國
閱讀:0
作者:TechTarget中國
欄目: 網(wǎng)絡(luò )安全
根據Tenable最新研究顯示���,在過(guò)去五年中���,已披露漏洞的數量增加183%��。
周四發(fā)布的《2020年威脅態(tài)勢回顧》概述了2020年披露或利用的主要漏洞�,以及影響這一年的趨勢��,包括漏洞和勒索軟件攻擊����。該報告由Tenable的安全響應團隊的三名成員編寫(xiě)��,這包括研究工程經(jīng)理Scott Caveza���、研究工程師Satnam Narang和研究工程師Rody Quinlan���,其中包括截至2020年12月31日的數據和披露���。
這些研究人員發(fā)現有關(guān)CVE的令人擔憂(yōu)的數據����,這些CVE數量很多且沒(méi)有被修復��。在2020年��,總共發(fā)現18,358個(gè)新的CVE��。根據該報告���,從2015年到2020年��,報告的CVE數量以36.6%的年均增長(cháng)率增長(cháng)��。
該報告稱(chēng):“2020年報告18,358個(gè)CVE�����,而2019年報告17,305個(gè)����,增加6%����,比2015年報告的6,487個(gè)增加183%���。在過(guò)去三年中����,我們每年報告的CVE超過(guò)16,000個(gè)�����,這一事實(shí)反映漏洞披露的新常態(tài)�?�!?/p>
報告稱(chēng)����,未修補的漏洞比零時(shí)漏洞要嚴重得多�。研究人員在報告中寫(xiě)道:“這種容易利用的漏洞受到民族國家行為者和普通的網(wǎng)絡(luò )罪犯的青睞����。雖然零日漏洞通常被用于有針對性攻擊�����,但攻擊者通常會(huì )利用未修補的漏洞��,這構成更大的威脅��?����!?/p>
Narang告訴SearchSecurity�,現在攻擊者會(huì )利用現有概念驗證(PoC)代碼發(fā)現已披露的漏洞�,并將其整合到其攻擊中�����,而不是試圖發(fā)現和開(kāi)發(fā)零日漏洞����。
他表示:“我們都知道�����,零日漏洞對攻擊者非常有價(jià)值�����,但是開(kāi)發(fā)零日漏洞以及花費時(shí)間和精力自行開(kāi)發(fā)相關(guān)的成本過(guò)高����,攻擊者更愿意選擇公開(kāi)PoC的所有這些未修復的系統��?����!?/p>
但公共PoC的可用性是決定修復和緊急程度的重要因素�,盡管很多安全團隊僅依賴(lài)于通用漏洞評分系統(CVSS)�。該系統評分為1到10���,其中10分是最關(guān)鍵�����。CVE具有CVSS分數���,以及名稱(chēng)和標記���。但是���,根據該報告�����,一些嚴重但無(wú)名的漏洞被備受矚目的漏洞所掩蓋�。
該報告稱(chēng):“熱門(mén)漏洞往往會(huì )引起媒體和企業(yè)領(lǐng)導者最多關(guān)注��,這給安全專(zhuān)業(yè)人員的響應帶來(lái)壓力��,即使對企業(yè)的威脅很小��。我們對2020年備受關(guān)注的漏洞的研究顯示��,并非每個(gè)關(guān)鍵漏洞都具有名稱(chēng)和標記�����。相反����,并非每個(gè)帶有名稱(chēng)和標記的漏洞都應被視為至關(guān)重要�����?����!?/p>
Narang說(shuō)�,盡管在某些情況下CVSS會(huì )提供幫助�,并提供背景信息和輕松引用漏洞的方式�����,但我們應該深入了解更多漏洞細節信息�����,而不只是名稱(chēng)和標記����。
他說(shuō):“每當你看到CVSS 10時(shí)�����,你會(huì )肯定地知道�,這是‘我需要放棄正在做的事情�����,并盡快加以處理的漏洞�?����!遣⒉皇敲總€(gè)值得注意的漏洞都需要引起同等重視����。我們想舉的例子是‘Boothole’�,這是帶有標記和名稱(chēng)的漏洞���,它影響著(zhù)Linux和Windows設備�,可繞過(guò)安全啟動(dòng)��。這是一個(gè)有趣的漏洞����,但是從總體上看��,這恐怕不是最緊急的漏洞����?��!?/p>
同時(shí)�,有些關(guān)鍵漏洞卻受到較少關(guān)注����。例如���,Narang指出Oracle Web Logic漏洞����,這些漏洞通常作為Oracle關(guān)鍵補丁更新的一部分每季度發(fā)布一次�����?���!斑@些漏洞的確被利用���,有時(shí)是作為零日漏洞����,有時(shí)是在研究人員發(fā)布PoC后�����。這些漏洞沒(méi)有名字�,但實(shí)際上也很?chē)乐?���?����!?/p>
新常態(tài)
正如該報告所顯示����,漏洞披露正在迅速增加�,Tenable研究人員將其稱(chēng)為“新常態(tài)”��。大量新漏洞的涌現可能是由于更多研究人員�����、漏洞獵人和企業(yè)在漏洞賞金上花錢(qián)��。
Narang說(shuō):“我認為這是主要因素�����,漏洞賞金計劃以及激勵研究人員發(fā)現和披露漏洞發(fā)揮了重要作用�����,這里面參與的人越來(lái)越多���,基本上都在尋找漏洞�?�!?/p>
在Tenable的研究中����,漏洞的增加并不是唯一需要關(guān)注的趨勢�。截至10月30日����,在該年度�����,該報告共確定730起公共數據泄露事件和220億條暴露記錄��。此外�����,超過(guò)35%的零日漏洞是基于瀏覽器�����,并且發(fā)現18個(gè)勒索軟件團伙在運行泄漏站點(diǎn)���。
研究人員在報告中寫(xiě)道:“勒索軟件仍然是當今企業(yè)面臨的最大威脅����。對于勒索軟件而言���,勒索是關(guān)鍵:勒索軟件仍然是最具破壞性的全球網(wǎng)絡(luò )威脅�?�!?/p>
勒索軟件攻擊加劇未修補漏洞和數據泄露�。
未修補漏洞使敏感數據和系統遭暴露����,“為勒索軟件攻擊者提供絕佳機會(huì )”�����。該報告發(fā)現����,超過(guò)35%的數據泄露事故與勒索軟件攻擊有關(guān)�����,“這通常導致巨大的財務(wù)損失”�����。
2019年的漏洞仍然在發(fā)揮作用
2020年充斥著(zhù)攻擊��、數據泄露事故和安全事件���,同時(shí)遠程辦公人員增加等�����,但讓Tenable擔憂(yōu)的是2019年發(fā)現的漏洞仍然在發(fā)揮作用-特別是VPN漏洞���。
Narang說(shuō):“在2020年的所有18,000個(gè)漏洞中��,如果你查看2020年的前五個(gè)漏洞�����,其中三個(gè)來(lái)自2019年���,2019年的這三個(gè)漏洞是你需要重點(diǎn)關(guān)注的漏洞����,這是因為它們仍然構成問(wèn)題���?��!?/p>
這包括CVE-2018-13379:Fortinet FortiOS SSL VPN Web Portal Information����,CVE-2019-11510:Arbitrary File Disclosure in Pulse Connect Secure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC) and Gateway����。針對這些漏洞的修復程序已于2019年發(fā)布���。
“這些漏洞正在被非常有決心的國家行為者利用���。我想特別強調修復這些漏洞的重要性����,因為這是通向你網(wǎng)絡(luò )的網(wǎng)關(guān)����,對我們所有人來(lái)說(shuō)���,這都非常重要��?���!?/p>
對于整體漏洞披露����,在2021年的第一個(gè)月�,這種情況似乎沒(méi)有改善���。Tenable研究人員在周二的博客文章中指出��,在2021年的第一個(gè)補丁周二中�����,微軟修復83個(gè)CVE��,其中10個(gè)被評為關(guān)鍵���。
該博客文章說(shuō):“與2020年1月相比��,修補的CVE數量增加了69%���?!?/p>
