根據(jù)Tenable最新研究顯示，在過去五年中，已披露漏洞的數(shù)量增加183%。

周四發(fā)布的《2020年威脅態(tài)勢回顧》概述了2020年披露或利用的主要漏洞，以及影響這一年的趨勢，包括漏洞和勒索軟件攻擊。該報告由Tenable的安全響應(yīng)團隊的三名成員編寫，這包括研究工程經(jīng)理Scott Caveza、研究工程師Satnam Narang和研究工程師Rody Quinlan，其中包括截至2020年12月31日的數(shù)據(jù)和披露。

[[376438]]

這些研究人員發(fā)現(xiàn)有關(guān)CVE的令人擔(dān)憂的數(shù)據(jù)，這些CVE數(shù)量很多且沒有被修復(fù)。在2020年，總共發(fā)現(xiàn)18,358個新的CVE。根據(jù)該報告，從2015年到2020年，報告的CVE數(shù)量以36.6%的年均增長率增長。

該報告稱：“2020年報告18,358個CVE，而2019年報告17,305個，增加6%，比2015年報告的6,487個增加183%。在過去三年中，我們每年報告的CVE超過16,000個，這一事實反映漏洞披露的新常態(tài)。”

報告稱，未修補的漏洞比零時漏洞要嚴(yán)重得多。研究人員在報告中寫道：“這種容易利用的漏洞受到民族國家行為者和普通的網(wǎng)絡(luò)罪犯的青睞。雖然零日漏洞通常被用于有針對性攻擊，但攻擊者通常會利用未修補的漏洞，這構(gòu)成更大的威脅。”

Narang告訴SearchSecurity，現(xiàn)在攻擊者會利用現(xiàn)有概念驗證(PoC)代碼發(fā)現(xiàn)已披露的漏洞，并將其整合到其攻擊中，而不是試圖發(fā)現(xiàn)和開發(fā)零日漏洞。

他表示：“我們都知道，零日漏洞對攻擊者非常有價值，但是開發(fā)零日漏洞以及花費時間和精力自行開發(fā)相關(guān)的成本過高，攻擊者更愿意選擇公開PoC的所有這些未修復(fù)的系統(tǒng)。”

但公共PoC的可用性是決定修復(fù)和緊急程度的重要因素，盡管很多安全團隊僅依賴于通用漏洞評分系統(tǒng)(CVSS)。該系統(tǒng)評分為1到10，其中10分是最關(guān)鍵。CVE具有CVSS分?jǐn)?shù)，以及名稱和標(biāo)記。但是，根據(jù)該報告，一些嚴(yán)重但無名的漏洞被備受矚目的漏洞所掩蓋。

該報告稱：“熱門漏洞往往會引起媒體和企業(yè)領(lǐng)導(dǎo)者最多關(guān)注，這給安全專業(yè)人員的響應(yīng)帶來壓力，即使對企業(yè)的威脅很小。我們對2020年備受關(guān)注的漏洞的研究顯示，并非每個關(guān)鍵漏洞都具有名稱和標(biāo)記。相反，并非每個帶有名稱和標(biāo)記的漏洞都應(yīng)被視為至關(guān)重要。”

Narang說，盡管在某些情況下CVSS會提供幫助，并提供背景信息和輕松引用漏洞的方式，但我們應(yīng)該深入了解更多漏洞細(xì)節(jié)信息，而不只是名稱和標(biāo)記。

他說：“每當(dāng)你看到CVSS 10時，你會肯定地知道，這是‘我需要放棄正在做的事情，并盡快加以處理的漏洞。’但是并不是每個值得注意的漏洞都需要引起同等重視。我們想舉的例子是‘Boothole’，這是帶有標(biāo)記和名稱的漏洞，它影響著Linux和Windows設(shè)備，可繞過安全啟動。這是一個有趣的漏洞，但是從總體上看，這恐怕不是最緊急的漏洞。”

同時，有些關(guān)鍵漏洞卻受到較少關(guān)注。例如，Narang指出Oracle Web Logic漏洞，這些漏洞通常作為Oracle關(guān)鍵補丁更新的一部分每季度發(fā)布一次。“這些漏洞的確被利用，有時是作為零日漏洞，有時是在研究人員發(fā)布PoC后。這些漏洞沒有名字，但實際上也很嚴(yán)重。”

新常態(tài)

正如該報告所顯示，漏洞披露正在迅速增加，Tenable研究人員將其稱為“新常態(tài)”。大量新漏洞的涌現(xiàn)可能是由于更多研究人員、漏洞獵人和企業(yè)在漏洞賞金上花錢。

Narang說：“我認(rèn)為這是主要因素，漏洞賞金計劃以及激勵研究人員發(fā)現(xiàn)和披露漏洞發(fā)揮了重要作用，這里面參與的人越來越多，基本上都在尋找漏洞。”

在Tenable的研究中，漏洞的增加并不是唯一需要關(guān)注的趨勢。截至10月30日，在該年度，該報告共確定730起公共數(shù)據(jù)泄露事件和220億條暴露記錄。此外，超過35%的零日漏洞是基于瀏覽器，并且發(fā)現(xiàn)18個勒索軟件團伙在運行泄漏站點。

研究人員在報告中寫道：“勒索軟件仍然是當(dāng)今企業(yè)面臨的最大威脅。對于勒索軟件而言，勒索是關(guān)鍵：勒索軟件仍然是最具破壞性的全球網(wǎng)絡(luò)威脅。”

勒索軟件攻擊加劇未修補漏洞和數(shù)據(jù)泄露。

未修補漏洞使敏感數(shù)據(jù)和系統(tǒng)遭暴露，“為勒索軟件攻擊者提供絕佳機會”。該報告發(fā)現(xiàn)，超過35%的數(shù)據(jù)泄露事故與勒索軟件攻擊有關(guān)，“這通常導(dǎo)致巨大的財務(wù)損失”。

2019年的漏洞仍然在發(fā)揮作用

2020年充斥著攻擊、數(shù)據(jù)泄露事故和安全事件，同時遠(yuǎn)程辦公人員增加等，但讓Tenable擔(dān)憂的是2019年發(fā)現(xiàn)的漏洞仍然在發(fā)揮作用-特別是虛擬專用網(wǎng)漏洞。

Narang說：“在2020年的所有18,000個漏洞中，如果你查看2020年的前五個漏洞，其中三個來自2019年，2019年的這三個漏洞是你需要重點關(guān)注的漏洞，這是因為它們?nèi)匀粯?gòu)成問題。”

這包括CVE-2018-13379：Fortinet FortiOS SSL虛擬專用網(wǎng) Web Portal Information，CVE-2019-11510：Arbitrary File Disclosure in Pulse Connect Secure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC) and Gateway。針對這些漏洞的修復(fù)程序已于2019年發(fā)布。 “

這些漏洞正在被非常有決心的國家行為者利用。我想特別強調(diào)修復(fù)這些漏洞的重要性，因為這是通向你網(wǎng)絡(luò)的網(wǎng)關(guān)，對我們所有人來說，這都非常重要。”

對于整體漏洞披露，在2021年的第一個月，這種情況似乎沒有改善。Tenable研究人員在周二的博客文章中指出，在2021年的第一個補丁周二中，微軟修復(fù)83個CVE，其中10個被評為關(guān)鍵。

該博客文章說：“與2020年1月相比，修補的CVE數(shù)量增加了69%。”