聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Palo Alto 公司Unit 42 团队发布《事件响应报告》指出,系统管理员修复安全漏洞所拥有的时间要比之前想象得更少,威胁行动者会在CVE漏洞发布15分钟内开始扫描易受攻击的端点。
报告指出,黑客一直不断地监控软件厂商通告版中出现的新漏洞,并借此对企业网络进行初始访问或实施远程代码执行。威胁行动者开始扫描漏洞的速度让系统管理员处于不利地位,因为他们必须在漏洞被利用前修复这些漏洞。
研究人员指出,“2022年发布的攻击面管理威胁报告指出,攻击者一般在CVE发布的15分钟内开始扫描。”由于扫描并不复杂,因此即使是技能低下的攻击者也能够扫描互联网,获得易受攻击的端点并将研究成果发布在暗网市场,供技术能力更高的黑客了解利用。之后在数小时内,就会出现第一批活跃的利用尝试,通常攻击永远没有打补丁机会的系统。
研究人员以CVE-2022-1388为例说明了这一点。该漏洞是一个严重的未认证远程命令执行漏洞,影响 F5 BIG-IP 产品。该漏洞是在2022年5月4日披露的,就在披露的10小时内,就记录了2552次扫描和利用尝试。这是防御人员和恶意人员之间的竞争,而任意一方的延迟边际随着时间的流逝而逐渐减少。
报告指出,2022年上半年,利用次数最多的网络访问漏洞是“ProxyShell”利用链,占所有所记录利用事件的55%。恶意人员通过组合利用三个漏洞CVE-2021-34473、CVE-2021-34523和CVE-2021-31207而利用 ProxyShell。
Log4Shell 是第二大利用次数最多的漏洞,占比14%;其次是SonicWall 中的多个CVE漏洞,占比7%;ProxyLogon 占比5%;Zoho ManageEngine AD SelfService Plus 占比3%。
从这些数据中可看到,利用次数最多的是半老旧缺陷而非最新发现的缺陷。造成这种情况的原因很多,包括攻击面的大小、利用复杂度以及实际影响。更多有价值的保护更好的系统,其管理员应用安全更新的速度很快,它们遭到了0day攻击,或者在缺陷披露后就立刻遭攻击。
另外值得注意的是,利用软件漏洞获得初始网络访问权限的方法在所有所用方法中约占三分之一的比例。在37%的情况下,钓鱼攻击是实现初始访问的更好的方式。暴力攻击或使用受陷凭据在实现网络渗透目标中占比15%。而通过社工攻击权限员工或贿赂内部人员获得网络访问权限占比10%。
系统管理员、网络管理员和安全专家本来就处于高压状态,试图追赶最新的安全威胁和操作系统问题,而威胁行动者对他们设备的攻击无疑增加了更多的压力。因此尽可能将设备离线,仅通过VPN或其它安全网关暴露就极其重要。通过限制对服务器的访问,管理员不仅减少了利用风险,而且还能争取额外的时间赶在漏洞遭内部利用前应用安全更新。
遗憾的是,某些服务必须公开暴露,这就要求管理员尽可能地通过访问清单加固安全,仅披露必要的端口和服务并尽可能快地应用安全更新。虽然快速应用关键更新可能导致宕机,但相比网络供给而言要好得多。
https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):CVE编号公开15分钟,黑客就会开始扫描
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论