1500万公开服务易受 CISA 已知已遭利用漏洞攻击

该公司开展大规模研究，识别暴露到攻击中的易受攻击系统的情况。这一发现结果令人担忧，因为 CISA KEV 清单中所列漏洞是已遭黑客利用的漏洞，因此如修复不及时则意味着庞大的攻击面，为威胁行动者提供无数的潜在目标。

暴露到攻击中

Rezilion 公司通过 Shodan web 扫描服务发现了仍然易受 CISA KEV 清单中所列CVE漏洞影响的端点。

研究人员使用自定义搜索查询，发现1500万个实例仍易受清单中所列200个CVE漏洞的影响。其中超过700万个实例易受一个微软 Windows 漏洞（共137个）的影响，使 Windows 成为防御人员的优先考虑组件以及出色的攻击目标。Rezilion 表示如下是影响范围最大的十个 CVE 漏洞（不包括 Windows）：

其中近一半的漏洞已存在五年之久，因此约80万台设备在很长时间内并未应用安全更新。报告指出，“整体来看，超过450万台面向互联网的设备易受2010年至2020年期间所发现的 KEV 漏洞影响。即使补丁已发布，但这些设备多年来仍未修复相关的已发布更新，而这些漏洞是已知已遭利用的状态，这非常令人担忧。”

报告提到的一些引人注意的CVE漏洞如下：

另外，对于CVE-2021-40438而言，这些实例数量对应于在 Apache 上而非个人设备上运行的网站/服务数量，因为很多网站可托管在单个服务器上。还有一点是，1500万端点遭暴露的数字是保守估计，因为其中仅包含非重复数据，有可能研究人员并未找到可缩小产品版本范围的查询。

Rezilion 公司表示，研究中不仅使用了Shodan 内置的CVE 搜索，而且还创建了自定义搜索查询来判断在设备上所运行软件的版本，“对于一些漏洞来说，Shodan 有内在标签；但在大多数情况下，我们的分析包括识别每款受影响产品的具体易受攻击版本，设计具体的 Shodan 查询，从而在 Shodan 可见的元数据中识别出这些版本的标示。”

利用尝试

实例暴露是一方面，黑客利用是另一方面。报告使用 Greynoise 的数据，监控并对漏洞利用尝试进行分类。

其中最常遭利用的漏洞是CVE-2022-26134，在 GreyNoise 中具有1421个结果，而过去一个月中的利用尝试次数是816次。该严重漏洞位于 Atlassian Confluence Server and Data Center 中，可导致远程攻击者在易受攻击实例上执行对象导航图语言 (OGNL) 表达式。

在该列表中排在前列的漏洞还包括CVE-2018-13379，它是影响 FortiOS 设备的预认证任意文件读取漏洞，在 GreyNoise 上拥有331个结果；以及Log4Shell 在过去一个月中的被利用尝试次数是66次。

很显然，修复用户环境中的所有这些漏洞是解决之道。然而，如果这样做对于所在组织机构而言不易实现，则应对漏洞进行优先级排序，通过防火墙保护环境安全。报告指出，CISA KEV 分类清单中，关于微软 Windows、Adobe Flash Player、Internet Explorer、Google  Chrome、Microsoft Office 和 Win32k 的漏洞占据四分之一，因此可以从修复这些产品开始做起。

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~