CISA 的已知漏洞影响1500万公共服务

CISA 的已知被利用漏洞 (KEV) 目录是有关过去或当前被利用漏洞的权威信息来源。在一份新报告中，Rezilion 研究团队分析了当前 KEV 目录中的漏洞。结果显示存在多达 1500 万个易受攻击的实例。大多数事件都是 Microsoft Windows 实例。

Rezilion指出，KEV 目录漏洞是高级持续威胁 (APT) 组织的常见目标。由于缺乏意识和行动，这种广泛的攻击面仍未得到解决。

巨大的安全漏洞

CISA KEV 目录目前有 896 个漏洞，并定期添加新条目。这些漏洞中的大多数被认为是高度危险的，其中 250 个被标记为严重，535 个被标记为高风险。Rezilion 的研究还发现，目录中列出的漏洞仅占每年发现的漏洞总数的一小部分（不到 1%）。

KEV 经常被 APT 团体和其他出于经济动机的攻击者利用。针对 KEV 的典型攻击者与民族国家有关，例如中国、俄罗斯、伊朗和朝鲜。该报告的调查结果表明，数百万个系统仍然容易受到这些漏洞的攻击，尽管存在修复这些漏洞的补丁。

KEV 研究方法论

Rezilion 研究分析了 CISA KEV 目录中包含的常见漏洞和暴露 (CVE)。他们使用 GreyNoise 和 Shodan 等资源来识别过去和现在的攻击面。这些包括：

• CISA KEV：该目录由 CISA 维护，是有关各种软件和硬件产品漏洞的权威来源。这些漏洞要么在过去被利用，要么仍在积极利用中。
• Shodan.io：一个用于联网设备的搜索引擎。Shodan 收集有关互联网设备的信息并从横幅中收集数据（有关在设备上运行的软件的元数据）。
• GreyNoise.io：GreyNoise从每天扫描互联网的互联网协议 (IP) 收集数据包。GreyNoise 分析并丰富这些数据以识别行为、方法和意图。这提供了对开发尝试的洞察力。

要注意的重要 CVE

重要的是要考虑有关 CVE 的两个因素。首先，CVE 的严重性是通过通用漏洞评分系统 (CVSS) 评分来衡量的。CVSS 提供了一种标准化的方法来解决漏洞的严重性，使用从 0 到 10 的数字分数。该分数基于评估漏洞的可利用性和影响以及缓解措施的可用性的指标。

但是，CVSS 评分是基于漏洞的潜在影响，而不是漏洞是否被积极利用。出于这个原因，Rezilion 还报告了 GreyNoise 结果和利用尝试。

例如，在下图中，您可以看到CVE-2022-26134是一个高度危险的 CVE。它具有很高的 GreyNoise 分数和最多的利用尝试。使用 CVSS 评分，CVE-2022-26134 也被评为严重 (9.8)。

资料来源：Rezilion（十大漏洞）

Rezilion 报告还提供了一份按每个产品的漏洞数量排名的最易受攻击产品的列表。

资料来源：Rezilion（最易受攻击的产品）

当心这些 KEV

一些 KEV 因其严重程度和现实世界开发的频率而特别臭名昭著。根据 Rezilion，一些更值得注意的 KEV 包括：

ProxyShell — CVE-2021-34523、CVE-2021-34473、CVE-2021-31207

• 众所周知，伊朗黑客正在破解这些 CVE。它们会影响可以链接在一起的 Microsoft Exchange 服务器，并使远程攻击者能够执行代码。该漏洞存在于使用 443 端口的 Microsoft Client Access Service 中。此端口通常暴露在互联网上，因为它使用户能够通过移动设备和浏览器访问电子邮件。

ProxyLogon — CVE-2021-26855、CVE-2021-26858、CVE-2021-26857、CVE-2021-27065

• 这些漏洞正被俄罗斯国家资助的 APT 攻击者和中国 APT 攻击者利用。此 CVE 组影响可以链接在一起的 Microsoft Exchange 服务器，并导致未经身份验证的攻击者实现远程代码执行。入侵者可以完全控制 Exchange 服务器、访问敏感信息并通过网络伪造可信身份。

Log4Shell — CVE-2021-44228

• 该漏洞影响 Log4J2 程序包版本 2.0-beta9，最高版本为 2.17.0，但不包括该版本。控制日志消息或日志消息参数的攻击者随后可以触发创建将在服务器上执行代码的特制日志。要检查易受攻击的机器，您需要检查服务器本身。伊朗 APT 和中国 APT 参与者应对这些黑客行为负责。

现在开始打补丁

许多 KEV 都很严重，并且它们正在被积极利用——但绝大多数也有现有的补丁。那么有多少未打补丁的系统呢？为了找到答案，Rezilion 使用 Shodan 来识别 CISA KEV 目录中仍然易受 CVE 攻击的公开资产。

不幸的是，该分析从目录中识别出 200 多个 CVE 的公开漏洞实例。这相当于超过 1500 万个易受攻击的实例。这些实例中的大多数是易受攻击的 Microsoft Windows 实例。此外，这些 Windows 漏洞在适用的攻击面方面代表了最高风险，有超过 700 万个易受攻击的公开实例。

除 Microsoft Windows 漏洞外，排名前 10 位的 CVE 中有 40% 的历史已超过五年。这意味着仍有超过 800,000 台机器暴露在这些 CVE 之下。Rezilion 发现超过 450 万台面向互联网的设备容易受到 2010 年至 2020 年期间发现的 KEV 的影响。更糟糕的是，这些相关的已发布更新多年未打补丁，尽管补丁已经发布。

采取行动保护 KEV

Rezilion 建议组织将重点放在修复包含 KEV 并加载到内存中的环境组件上。他们推荐以下两步过程：

1. 通过运行时验证确定哪些漏洞可被利用。由于代码中的大多数漏洞从未加载到内存或执行，因此此步骤消除了 85% 的初始积压。
2. 使用 CISA KEV 目录或其他威胁情报来源作为持续漏洞管理策略的一部分。识别需要立即修补的漏洞，因为攻击者正在积极利用它们。

可操作的软件物料清单 (SBOM) 和漏洞管理策略是了解攻击面的重要工具。优先级应基于 CVSS 分数、经过验证的利用活动和关键任务实例。

原文始发于微信公众号（河南等级保护测评）：CISA 的已知漏洞影响1500万公共服务