修补安全漏洞理论上看似乎是一个并不复杂的过程,供应商针对已知的缺陷发布补丁,随后所有受影响的组织及时应用该补丁看起来就没问题了。但是,看起来如此简单的事情只会发生在非常理想的情况下,现实中并非如此。安全企业Rezilion 于8月8日周一发布了一份报告,分析了供应商已经修补的旧有漏洞如何仍然对组织持续构成风险。
Rezilion在其报告《Vintage vulnerability Are Still Style》中研究了CISA维护的已知exploit vulnerability Catalog(图A)。
在名单上的790个漏洞中,有400多个可以追溯到2020年以前。2019年有104个,2018年有70个,2017年有73个。2010年的还有17个。
研究数据显示,从2010年到2020年发现的漏洞影响了超过450万个面向互联网的系统和设备。
对陈旧漏洞的无效补丁管理使公司容易受到攻击
尽管针对这些陈旧漏洞的修复补丁都已经存在多年,但许多用户和组织仍然没有修复它们。因此,它们仍然可以被自由利用,给未更新的软件和设备带来风险。Rezilion表示,在过去的一个月中,他们发现了针对大多数安全漏洞的主动扫描和利用企图。
这个问题存在于安全漏洞的生命周期中。一开始,产品中存在的安全缺陷可能会被利用,因为还没有补丁存在,尽管没有人会意识到它。如果攻击者知道了这个漏洞,那么它就被归类为0day。厂商发布并部署补丁后,仍可利用该漏洞,但只适用于尚未应用补丁的环境。
但是,IT和安全团队需要了解供应商提供的可用补丁,确定优先应用哪些补丁,并实现用于测试和安装这些补丁的系统。如果没有一个有效的补丁管理方法,整个过程很容易在其中的任何一个环节上出错。精明的攻击者肯定会意识到这一点,这就是为什么他们继续利用这些供应商其实早已修复的漏洞而继续发起攻击。
在Rezilion的研究中,也列举了一些攻击者常用的所谓经典安全漏洞,主要有如下几个:
CVE - 2012 - 1823
PHP CGI远程代码执行是一个验证漏洞,它允许远程攻击者通过在PHP查询字符串中放入命令行选项来执行代码。这一缺陷在野外被利用了10年。
CVE - 2014 - 0160
OpenSSL进程内存敏感信息泄漏漏洞(HeartBleed)影响TLS(Transport Layer Security)扩展。在OpenSSL 1.0.1到1.0.1f之间,这个漏洞会将服务器的内存内数据泄露给客户端,反之亦然,可以允许互联网上的任何人使用OpenSSL软件的脆弱版本读取这些内容。2014年4月,它被公之于众。
CVE - 2015 - 1635
微软HTTP.sys远程代码执行漏洞是Microsoft Internet Information Service (IIS)中的HTTP协议处理模块(HTTP.sys)存在的漏洞,攻击者可以通过向易受攻击的Windows系统发送特殊的HTTP请求来远程执行代码。这一漏洞在野外已经活跃了七年多。
CVE - 2018 - 13379
Fortinet FortiOS和FortiProxy是FortiProxy SSL VPN门户网站的一个漏洞,可以使远程攻击者通过特殊的HTTP资源请求下载FortiProxy系统文件。
CVE - 2018 - 7600
Drupal远程代码执行漏洞(Drupalgeddon2)是一个远程代码执行漏洞,影响多个不同版本的Drupal。攻击者可能会利用这个漏洞迫使运行Drupal的服务器执行恶意代码,从而破坏安装。
为了帮助组织更好地管理安全漏洞及相关补丁,Rezilion提供了几个建议:
首先,组织、企业应建立并应用软件物料清单(SBOM),以管理好应用程序中所有开源和第三方组件的清单,确保在相关组件出现问题时,能够及时排查风险,并及时应用供应商发布的相关补丁。
其次,为了保证补丁管理策略的有效性,应该有特定的过程,包括变更控制、测试和质量保证,所有这些过程都可能导致潜在的兼容性问题。在拥有管理流程后,还需要能够轻松地扩展它,这意味着随着发现更多的漏洞,需要扩展补丁工作。
最后,要持续监测和评估补丁管理策略,并建立起常态化的环境监控,以确保漏洞被修复,补丁也被正常安装。