周四发布的《2020年威胁态势回顾》概述了2020年披露或利用的主要漏洞,以及影响这一年的趋势,包括漏洞和勒索软件攻击。该报告由Tenable的安全响应团队的三名成员编写,这包括研究工程经理ScottCaveza、研究工程师SatnamNarang和研究工程师RodyQuinlan,其中包括截至2020年12月31日的数据和披露。
这些研究人员发现有关CVE的令人担忧的数据,这些CVE数量很多且没有被修复。在2020年,总共发现18,358个新的CVE。根据该报告,从2015年到2020年,报告的CVE数量以36.6%的年均增长率增长。
该报告称:“2020年报告18,358个CVE,而2019年报告17,305个,增加6%,比2015年报告的6,487个增加183%。在过去三年中,我们每年报告的CVE超过16,000个,这一事实反映漏洞披露的新常态。”
报告称,未修补的漏洞比零时漏洞要严重得多。研究人员在报告中写道:“这种容易利用的漏洞受到民族国家行为者和普通的网络罪犯的青睐。虽然零日漏洞通常被用于有针对性攻击,但攻击者通常会利用未修补的漏洞,这构成更大的威胁。”
Narang告诉SearchSecurity,现在攻击者会利用现有概念验证(PoC)代码发现已披露的漏洞,并将其整合到其攻击中,而不是试图发现和开发零日漏洞。
他表示:“我们都知道,零日漏洞对攻击者非常有价值,但是开发零日漏洞以及花费时间和精力自行开发相关的成本过高,攻击者更愿意选择公开PoC的所有这些未修复的系统。”
但公共PoC的可用性是决定修复和紧急程度的重要因素,尽管很多安全团队仅依赖于通用漏洞评分系统(CVSS)。该系统评分为1到10,其中10分是最关键。CVE具有CVSS分数,以及名称和标记。但是,根据该报告,一些严重但无名的漏洞被备受瞩目的漏洞所掩盖。
该报告称:“热门漏洞往往会引起媒体和企业领导者最多关注,这给安全专业人员的响应带来压力,即使对企业的威胁很小。我们对2020年备受关注的漏洞的研究显示,并非每个关键漏洞都具有名称和标记。相反,并非每个带有名称和标记的漏洞都应被视为至关重要。”
Narang说,尽管在某些情况下CVSS会提供帮助,并提供背景信息和轻松引用漏洞的方式,但我们应该深入了解更多漏洞细节信息,而不只是名称和标记。
他说:“每当你看到CVSS10时,你会肯定地知道,这是‘我需要放弃正在做的事情,并尽快加以处理的漏洞。’但是并不是每个值得注意的漏洞都需要引起同等重视。我们想举的例子是‘Boothole’,这是带有标记和名称的漏洞,它影响着Linux和Windows设备,可绕过安全启动。这是一个有趣的漏洞,但是从总体上看,这恐怕不是最紧急的漏洞。”
同时,有些关键漏洞却受到较少关注。例如,Narang指出OracleWebLogic漏洞,这些漏洞通常作为Oracle关键补丁更新的一部分每季度发布一次。“这些漏洞的确被利用,有时是作为零日漏洞,有时是在研究人员发布PoC后。这些漏洞没有名字,但实际上也很严重。”
新常态
正如该报告所显示,漏洞披露正在迅速增加,Tenable研究人员将其称为“新常态”。大量新漏洞的涌现可能是由于更多研究人员、漏洞猎人和企业在漏洞赏金上花钱。
Narang说:“我认为这是主要因素,漏洞赏金计划以及激励研究人员发现和披露漏洞发挥了重要作用,这里面参与的人越来越多,基本上都在寻找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要关注的趋势。截至10月30日,在该年度,该报告共确定730起公共数据泄露事件和220亿条暴露记录。此外,超过35%的零日漏洞是基于浏览器,并且发现18个勒索软件团伙在运行泄漏站点。
研究人员在报告中写道:“勒索软件仍然是当今企业面临的最大威胁。对于勒索软件而言,勒索是关键:勒索软件仍然是最具破坏性的全球网络威胁。”
勒索软件攻击加剧未修补漏洞和数据泄露。
未修补漏洞使敏感数据和系统遭暴露,“为勒索软件攻击者提供绝佳机会”。该报告发现,超过35%的数据泄露事故与勒索软件攻击有关,“这通常导致巨大的财务损失”。
2019年的漏洞仍然在发挥作用
2020年充斥着攻击、数据泄露事故和安全事件,同时远程办公人员增加等,但让Tenable担忧的是2019年发现的漏洞仍然在发挥作用-特别是虚拟专用网漏洞。
Narang说:“在2020年的所有18,000个漏洞中,如果你查看2020年的前五个漏洞,其中三个来自2019年,2019年的这三个漏洞是你需要重点关注的漏洞,这是因为它们仍然构成问题。”
这包括CVE-2018-13379:FortinetFortiOSSSL虚拟专用网WebPortalInformation,CVE-2019-11510:ArbitraryFileDisclosureinPulseConnectSecure以及CVE-2019-19781:CitrixApplicationDeliveryController(ADC)andGateway。针对这些漏洞的修复程序已于2019年发布。“
这些漏洞正在被非常有决心的国家行为者利用。我想特别强调修复这些漏洞的重要性,因为这是通向你网络的网关,对我们所有人来说,这都非常重要。”
对于整体漏洞披露,在2021年的第一个月,这种情况似乎没有改善。Tenable研究人员在周二的博客文章中指出,在2021年的第一个补丁周二中,微软修复83个CVE,其中10个被评为关键。
该博客文章说:“与2020年1月相比,修补的CVE数量增加了69%。”