系统管理员修补已披露的安全漏洞的时间比之前认为的要少,因为一份新报告显示威胁参与者在公开披露新 CVE 后 15 分钟内扫描易受攻击的端点。

根据 Palo Alto 的 2022 年 Unit 42 事件响应报告,黑客一直在监视软件供应商公告板上是否有新的漏洞公告,他们可以利用这些漏洞公告对公司网络进行初始访问或执行远程代码执行。

然而,威胁行为者开始扫描漏洞的速度让系统管理员处于十字路口,因为他们竞相在漏洞被利用之前修补漏洞。

stopwatch.webp

“2022 年攻击面管理威胁报告发现,攻击者通常会在宣布 CVE 后 15 分钟内开始扫描漏洞,”一篇配套的 博客文章写道。

由于扫描的要求不是特别高,即使是低技能的攻击者也可以扫描互联网以查找易受攻击的端点,并将他们的发现出售到更有能力的黑客知道如何利用它们的暗网市场上。

然后,在几个小时内,观察到第一次主动利用尝试,通常会攻击从未有机会修补的系统。

Unit 42 以 CVE-2022-1388 为例,这是一个影响 F5 BIG-IP 产品的严重未经身份验证的远程命令执行漏洞。

该漏洞于 2022 年 5 月 4 日被披露,根据 Unit 42 的说法,自 CVE 公告发布十小时后,他们已记录了 2,552 次扫描和利用尝试。

这是维护者和恶意行为者之间的竞赛,每一方的延误幅度都随着时间的推移而减少。

2022 年利用最多的漏洞

根据 Palo Alto 收集的数据,2022 年上半年被利用最多的网络访问漏洞是“ProxyShell”利用链,占记录的利用事件总数的 55%。ProxyShell 是一种通过将三个被跟踪为 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 的漏洞链接在一起来利用的攻击。

Log4Shell 以 14% 紧随其后,各种 SonicWall CVE 占 7%,ProxyLogon 占 5%,而 Zoho ManageEngine ADSelfService Plus中的 RCE在 3% 的案例中被利用。

2022 年上半年利用最多的漏洞

2022 年上半年利用最多的漏洞 (第 42 单元)

从这些统计数据中可以明显看出,利用量的最大份额是由半旧的缺陷而不是最近的缺陷捕获的。

发生这种情况的原因有很多,包括攻击面大小、利用复杂性和实际影响。

管理员可以快速应用安全更新的更有价值和更好保护的系统会成为零日攻击或漏洞披露后立即展开的攻击的目标。

还值得注意的是,根据 Unit 42,利用软件漏洞进行初始网络破坏的方法约占所用方法的三分之一。

在 37% 的情况下,网络钓鱼是实现初始访问的首选手段。在 15% 的案例中,黑客入侵网络的方式是暴力破解或使用泄露的凭据。

攻击者如何在 2022 年上半年获得初始访问权限

攻击者如何在 2022 年上半年实现初始访问 (第 42 单元)

最后,对特权员工使用社会工程技巧或贿赂流氓内部人员以帮助网络访问对应于 10% 的事件。

与时间赛跑

由于系统管理员、网络管理员和安全专业人员在试图跟上最新的安全威胁和操作系统问题时已经承受着巨大的压力,威胁参与者瞄准他们的设备的速度只会增加额外的压力。

因此,尽可能让设备远离 Internet,并且仅通过 VPN 或其他安全网关公开它们是极其重要的。通过限制对服务器的访问,管理员不仅可以降低漏洞利用的风险,还可以在漏洞成为内部攻击目标之前提供额外的时间来应用安全更新。

不幸的是,一些服务必须公开,要求管理员通过访问列表尽可能加强安全性,只公开必要的端口和服务,并尽快应用更新。

虽然快速应用关键更新可能会导致停机,但这比全面网络攻击的后果要好得多。

Tags: none

我有个想法