漏洞遭利用的速度越来越快

Rapid 7 公司发布2022年度《漏洞情报报告》指出，当前最令人担忧的问题是漏洞从发现到利用的间隔时间正在下降。Rapid7 公司的资深安全研究经理 Caitlin Condon 指出，“在安全团队打补丁或采取其它缓解措施之前，很多漏洞就遭利用。”

准确来讲，56%的漏洞在公开披露的7天内遭利用，比2021年提高了12%，比2020年提高了87%。针对和修复漏洞的资源仍然有限，优先级仍可被错配。Log4Shell 就是一个例子。报告提到，“很多组织机构在2022年年初的几周或几个月内，一直在修复Log4Shell 漏洞，消耗已经因预算缩水和疫情而被耗尽的IT和安全团队资源。”

但在Log4Shell 之后，又出现了 Spring4Shell 和 Text4Shell。Condon 提到，“鉴于新漏洞的出现，这是一个4Shell的节奏。”这说明这些漏洞的重要性被放在和Log4Shell同等的位置。但管理层查看报告后询问安全团队所做的事情是什么。Condon 指出，“安全团队很难回答说，‘是的，它是4Shell 问题，但问题很傻且我们并没有优先处理它’。”结果就是用于投入重要漏洞的资源不可避免地分配到不太重要的漏洞中，而这些重要漏洞从发现到利用的时间间隔大幅减少。

Condon 认为，炒作对于安全团队可能会是一个问题。她认为，一般而言媒体尤其是安全媒体的压力，是“纯粹的好事”。她指出，“但如果你是推特上的研究员，你的激励是获得2000次转发和获得招聘机会，那么炒作的激励就是巨大的，这可能会给记者带来压力。”她补充道，当厂商自己的产品能够提供缓解措施时，并非所有的安全厂商是无辜的。

Condon 认为该报告的要点主要有三个。第一个要点是大规模的漏洞威胁比例仍然较高，尽管这些威胁从2021年的66%降低到了56%。报告指出，“大规模利用中释放的常见payload 包括密币挖矿机、web shell、多种僵尸网络恶意软件以及越来越多样化的勒索软件payload。”

第二个要点是，勒索软件生态系统的复杂性以及它对可见性和数据的影响方式。她问道，“2022年，我们可以确定映射到勒索软件事件中的漏洞降低了三分之一。当我们和其它很多家企业遭遇的勒索事件总量增多时，为什么会发生这种情况？”

一个很明显的结论是，勒索团队正在利用的新漏洞要少于2021年的数量。她补充道，“这可能是等式的一部分，但实际上几乎并非事情的全貌——勒索软件生态系统整体的多样性以及更宽泛的地下网络起着非常重要的作用。”

这种影响具有复杂性。所使用的漏洞数量在降低而勒索软件家族的数量在增多，意味着存在更多的威胁者payload需要追踪，有更多的TPPs 需要追踪和判断归属。他表示，“所有这些因素至少在短期内，可能造成对勒索软件CVE映射的更低的行业可见性，以及追踪完整攻击链和时间轴的更低的信心水平。鉴于勒索软件生态系统的多样性以及新漏洞使用的有限性，我们对于其中一些活动的能力和可见性可能会更低。”

第三个要点使上述情况更为复杂：新漏洞从发现到利用的时间间隔。她提到，“我们认为漏洞从已知到被利用的时间间隔是安全践行的一个非常重要的指标。他们不仅必须选择优先级还必须通过非常有限的资源在链条中和组织机构中进行证明。”

即使从0day利用的数据分布情况来看，漏洞发现和漏洞之间的时间间隔在过去三年中也在稳步下降。报告指出，“2020年，所报告的30%的漏洞在披露一周内遭在野利用。2021年，这一比例提升到50%。2022年，56%的漏洞在披露一周内遭利用。”

从技术上来讲，其中一些漏洞可能被归类为0day或nday。她提到，“超过6个漏洞在披露之时并未遭利用，但在几天内被利用。”不过，报告想讨论的点并未是否为0day，而是从发现到利用之间的时间间隔。她指出，“数据并不好，对于很多客户而言这是一个难以接受的信息。”加上漏洞传播的广泛性、勒索软件事件的可见性减低以及新漏洞非常简短的利用时间间隔，为本来就为因疫情压力和无法管控的在家办公的安全团队增加了更多的压力。

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~