漏洞是硬件、软件、协议或操作系统安全策略的具体实现中的缺陷,使得攻击者可以在未经授权的情况下访问或破坏系统。 发现和利用漏洞是获得系统控制权的重要途径。 当传统系统和应用程序与数字时代越来越多的新兴技术发生碰撞时,漏洞的数量也在以令人难以置信的速度逐年增长。
Security 419 此前注意到保险科技初创公司 Corvus Insurance 发布的一份报告指出,漏洞利用已成为头号威胁行为者勒索软件攻击的首要访问路径:“勒索软件攻击的受害者现在越来越多地使用我们的还可以看到,当2023年单个MOVEit漏洞就可以影响近千家企业时,可见漏洞问题依然是最大的安全威胁。
2023年的漏洞和未来趋势
我们来看看以下几组公开数据:
思科威胁检测与响应首席工程师 Jerry Gamblin 近日透露,2023 年共发布了 28,902 个 CVE,比 2022 年发布的 25,081 个 CVE 增长了 15% 以上。换算下来,平均每年发布 79.18 个 CVE。天。 自 2017 年以来,发布的 CVE 数量一直在稳步增长,Jerry Gamblin 也通过一组模型(卡尔曼滤波器)对 2024 年可能出现的 CVE 数量进行了预测,尽管预测的 32,600 个 CVE 数量肯定不是实际的。任何人都会想。 才能看到最终的结果。
据安全公司Qualys发布的《2023年网络威胁安全回顾》报告显示,2023年全球共披露了26447个计算机漏洞,“创历史之最”,相比去年的25050个漏洞增加了5.2%。 漏洞的数量是一个危险的方面。 在披露的漏洞中,超过7000个漏洞具有“概念验证利用代码”,206个漏洞具有可用的武器化利用代码,其中115个漏洞已“被黑客广泛利用”。
国内网络安全上市公司天融信发布的《2023年网络空间安全漏洞态势分析研究报告》数据显示,2023年,天融信Alpha实验室通过漏洞监测系统共监测发现各类漏洞信息35762条。 监控系统自动智能筛选并保留高危漏洞信息361条。 报告指出,从漏洞发展趋势来看,未来零日漏洞的使用量将持续增长。 其中,新兴技术领域成为重点攻击目标:云计算、物联网、车联网、人工智能等新兴技术将继续成为安全漏洞的重点领域。
Tenable Research 团队统计了 2023 年 Microsoft Patch Tuesday 数据,指出 2023 年,微软共修补了 909 个漏洞,比 2022 年的 917 个漏洞略有减少 0.87%。该团队评论道:“回顾 2023 年 Patch Tuesday,我们看到,已修补的 CVE 数量与 2022 年的数字一致,与 2020 年的峰值相差甚远。严重漏洞,2023 年星期二补丁仍然是多事之举。”
国内网络安全厂商微步在线近日发布的《2023年漏洞情报年度报告》显示,2023年共捕获漏洞情报29000+条,较2022年增加4000余条漏洞。据微步在线自身安全报道其产品及掌握的黑客攻击大数据,全网漏洞利用总数已超过41亿次,捕获攻击IP超过130万个。 此外,黑客主要利用1300多个已知漏洞进行攻击,其中2023年新增重大漏洞利用255个,其中90%以上为远程漏洞。
从上述网络安全机构披露的数据来看,虽然没有任何权威机构能够准确报告近一年来的漏洞数量,但漏洞总体数量逐年增加却是事实。 此外,安全厂商还指出,从已知的漏洞利用数据来看,漏洞涉及广泛的操作系统和应用程序,这表明几乎没有程序是攻击者无法企及的。 攻击者会使用任何软件来实现他们的目标。 漏洞攻击业务系统。
漏洞利用速度加快,零日漏洞利用增多
CheckPoint发布的《2023年上半年网络安全报告》指出,2023年新发现的漏洞几乎会立即被攻击者利用和实施。 有一组数据也对应着这个趋势的增长。 2023 年上半年,28% 的攻击利用了新漏洞,而 2022 年上半年这一数字为 20%,2021 年上半年为 17%。这表明攻击者正在加速将新漏洞集成到他们的攻击中。常用的漏洞利用库。
Qualys发布的《2023年网络威胁安全回顾》也总结了攻击者利用漏洞的速度。 其指出,2023年“黑客利用”高危漏洞的平均时间约为44天,其中25%在公布当天就被利用。 容易被黑客利用,75%的漏洞在发布后19天内被利用。
微步在线也给出了几乎相同的数据。 《2023漏洞情报年度报告》显示,25.5%的高危漏洞在发布当天就被利用,75%的高危漏洞在发布后22天内被利用。 给出的结论是,攻击者利用漏洞的效率在不断提高,因此企业侧的漏洞响应时间窗口也在不断缩小。
在零日漏洞利用方面,谷歌威胁分析团队去年7月提供了近年来的趋势分析,指出2021年被利用的零日漏洞数量(69个)创历史新高, 2022年有所下降,但随着2023年的增加,以重大零日漏洞利用事件的大幅增加为重点,零日漏洞攻击再次流行起来。 从商业间谍活动到勒索软件攻击,零日漏洞被广泛使用。
微步在线《2023年漏洞情报年度报告》指出,从2023年实际攻防案例和重大威胁事件来看,零日漏洞已成为攻击者的常规储备,其漏洞利用频率和规模不断上升。 对于企业来说,迫切需要缩短攻击者与攻击者掌握零日漏洞的时间差距。 企业应尽可能提前掌握零日漏洞情报,提前加强和减少暴露区域。
漏洞防御离不开第三方专业知识
IBM发布的2023版《数据泄露成本报告》数据显示,2023年全球数据泄露的平均成本将达到445万美元,创下该报告历史记录。 报道还关注了另一点。 其还指出,期内因发现安全漏洞和恶化漏洞而造成的安全成本增加了42%,占安全漏洞总成本的比例达到历史最高水平。 它还表明,公司在调查和处理漏洞方面变得更加成熟。
该报告进一步指出,自行发现漏洞的组织比攻击者披露的漏洞损失少近 100 万美元(分别为 430 万美元和 523 万美元)。 IBM 安全团队总结道:“早期检测和快速响应可以显着降低安全漏洞的影响。” 换句话说,安全团队必须关注对手发现和利用漏洞的能力,并专注于阻止他们的攻击。
此前,赛博昆仑创始人兼CEO郑文斌在接受安全419采访及近年来漏洞利用趋势时指出,勒索软件攻击为何在国内乃至全球不断发生,是因为利用漏洞的勒索组织的源头尚未解决。 。 初始攻击问题,其中漏洞利用的有效性始终排在第一位,如果无法修复或预防,则将始终存在。 企业仍需予以重视,并推出有效、创新的安全解决方案。
大型网络安全厂商也向Security 419表示,企业和组织之所以总是受到利用漏洞的攻击(突破),是因为仍有大量企业没有建立有效的应对方法论2024年微软安全漏洞盘点中用的啥软件啊,包括应急预案、安全防护产品和工具。 如果只用自己的力量来对抗黑客攻击,相关运维人员可能要投入200%的精力,很难平衡自身的安全。
在具体的漏洞防范方面,Qualys的建议是采用漏洞优先级技术,即对被野地利用的高危漏洞进行优先级排序,以实现有效的风险管理。 此外,漏洞频发带来的高风险也提醒企业必须做好软件安全监控和评估工作。 一个可靠的第三方检测机构是一个必须认真考虑的问题。
天融信《2023年网络空间安全漏洞态势分析研究报告》给出的具体安全防护建议是,实行严格的供应商审核机制,防范供应链攻击; 此外,还需要建立系统的漏洞管理体系来应对安全漏洞威胁。 在供应链安全方面,需要解决的不仅仅是自身系统的漏洞。 世界经济论坛最新发布的网络安全展望报告也强调了供应链安全问题。 对此,外部各方需要加强对供应商的安全能力评估。 另外,开源软件也需要相应的代码审查。
微步在线给企业的建议是,企业应将有限的资源集中在那些高危漏洞上,结合威胁情报(如PoC是否公开、是否被黑客工具武器化、是否已发现攻击),资产的重要性、漏洞的技术级别、漏洞的技术特征(如利用的难易程度、利用成功的危害性)、漏洞的实际风险以及基于漏洞处置的优先级漏洞的实际风险。 另一方面,企业要建立基本的漏洞防御能力,必须做的就是汇聚公网资产。 对此,主要原因是攻击者利用的漏洞大多是远程漏洞。
2023年典型漏洞利用事件:
MOVEit 漏洞影响数千家公司
MOVEit是Progress Software Corporation开发的文件传输平台。 该平台被世界各地数千个政府、金融机构以及其他公共和私营部门实体用来发送和接收信息。 5 月 31 日,Progress Software 发布了针对严重漏洞 (CVE-2023-34362) 的补丁,MOVEit 评级为 9.8。 此后,该漏洞迅速被勒索软件组织利用。 此后短期内,Progress Software 陆续发布了第二个漏洞(CVE-2023-35036)和第三个漏洞(CVE-2023-35708)。
据安全厂商EMSISOFT统计,2023年5月爆发的MOVEit(CVE-2023-34362)漏洞利用事件已影响全球2738家(最新数据)公司,综合攻击影响人数超过9000万人。 企业因攻击而遭受的损失估计超过数百亿美元。 EMSISOFT 威胁分析师认为,这“可能是迄今为止最重大的网络安全事件之一”。
有分析显示2024年微软安全漏洞盘点中用的啥软件啊,黑客可能早在2021年就知道MOVEit中的漏洞,并进行了早期测试,直到这次大规模事件爆发。 这表明黑客已经掌握了一定的自动化方法来批量利用它们。 Clop 是利用此漏洞的主要勒索软件组织。 据Coveware发布的跟踪报告显示,勒索软件组织故意提高受攻击企业的赎金。 据估计,单个漏洞攻击可为 Clop 带来至少 7500 万美元的赎金收入。
GoAnywhere漏洞在短时间内展现出惊人的破坏力
今年GoAnywhere曝光的CVE-2023-0669漏洞也被黑客大规模利用。 该漏洞很早就被安全研究人员发现,并表明它可能会被积极利用。 当时,互联网上暴露了超过 1,000 个 GoAnywhere 实例。 第一个利用该漏洞进行大规模攻击的人仍然是Clop勒索软件组织。 在第一波攻击中,有 130 家公司受到影响。
由于GoAnywhere在漏洞被披露并可被利用后的第5天才推出修复(此前仅提供相关安全建议),这给黑客留下了充足的利用时间。 政府、能源、金融、医疗等行业的众多知名企业成为攻击受害者,也充分展现了“零日漏洞+供应链攻击”的恐怖。
近日,GoAnywhere 再次发现新漏洞 CVE-2024-0204(CVSS 评分 9.8)。 该漏洞是一个身份验证绕过漏洞。 未经身份验证的远程攻击者可以利用此漏洞绕过身份验证并通过管理门户创建管理员用户。 此次,官方也主动发出预警,避免再次成为大量安全事件的罪魁祸首。
VMware ESXi 错过了漏洞重新利用的热潮
受其现状影响,VMware漏洞的影响总是更加惊人。 例如,2023年第一季度,黑客利用VMware两年前修复的VMware ESXi(CVE-2021-21974)漏洞成功实施了攻击。 一波大规模的攻击,这次攻击也验证了几个重大事实。 例如,Nday 漏洞仍然可以被广泛利用。
据后续报道,消息人士指出,多个恶意软件团伙利用 2021 年 9 月 Babuk 勒索软件泄露的源代码构建了多达 9 个针对 VMware ESXi 系统的不同勒索软件家族,变种从 2022 年开始出现在2023年上半年,凸显勒索软件对高价值目标的针对性越来越强,这也要求高价值目标解决自身的老漏洞。
至于CVE-2021-21974漏洞本身,CyberKunlun创始人兼首席执行官郑文斌此前评论称,此前针对美国燃油管道公司Colonial Pipeline的勒索软件攻击就利用了VMware相关漏洞。 这个漏洞也是MJ团队早前关注的问题。 它是可能被攻击利用的漏洞之一。 在漏洞修复后的第Nday阶段,其影响仍然非常广泛。 “CVE-2021-21974漏洞实际上源于VMware之前修复的‘遗留漏洞’。”
结语。
漏洞利用的有效性意味着攻击者不会放过任何微小的安全漏洞。 面对数十万个历史漏洞,以及随时可能被发现和利用的零日漏洞,有效的漏洞管理仍然是企业最重要的事情。 网络防御的重要手段。 此外,脆弱性也是一个很大的生态问题。 生态系统中的不同角色必须通过对标和协作来承担自己的责任。 只有针对不同角色推出有针对性的安全解决方案,才能逐步改善和削弱漏洞问题的长期后果。 影响。
#网络安全##安全漏洞#
