根据Tenable的最新研究,过去5年披露的漏洞数量增加了183%。《2020年威胁态势回顾》,周四发布,概述了2020年披露或利用的主要漏洞,以及影响这一年的趋势,包括漏洞和勒索软件攻击。该报告由Tenable安全响应团队的三名成员编写,包括研究工程经理ScottCaveza、研究工程师SatnamNarang和研究工程师RodyQuinlan,包括截至2020年12月31日的数据和披露。这些研究人员发现了有关CVE的令人担忧的数据,数量众多且不固定。2020年,共发现18358个新CVE。报告显示,2015年至2020年,报告的CVE数量年均增长36.6%。“2020年报告了18,358起CVE,与2019年报告的17,305起相比增长了6%,比2015年报告的6,487起增长了183%。在过去三年中,我们每年报告超过16,000起CVE,这是这一事实反映了漏洞披露的新常态。”报告称,未修补的漏洞比零时漏洞严重得多。研究人员在报告中写道:“这种易于利用的漏洞受到民族国家行为者和普通网络犯罪分子的青睐。”虽然零日漏洞是通常用于有针对性的攻击,攻击者通常会利用未修补的漏洞,从而构成更大的威胁。”Narang告诉SearchSecurity,攻击者现在将利用现有的概念验证(PoC)代码来发现已披露的漏洞并将其整合到他们的攻击中,而不是试图发现和利用零日漏洞。“我们都知道零日漏洞对攻击者来说非常有价值,但开发零日漏洞并花费时间和精力自行开发的成本太高,攻击者更愿意暴露所有这些未打补丁的PoC系统,”他说。”但公共PoC的可用性是确定修复和紧迫性的一个重要因素,尽管许多安全团队仅依赖通用漏洞评分系统(CVSS)。该系统的评分从1到10,其中10是最关键的。有一个CVSS分数,以及一个名称和一个标签。但是,根据该报告,一些严重但不为人知的漏洞被引人注目的漏洞所掩盖。“顶级漏洞往往最受媒体和商业领袖的关注,向安全专业人员施加压力,即使对业务的威胁很小,也要做出响应,”报告称。我们对2020年备受瞩目的漏洞的研究表明,并非每个关键漏洞都有名称和标签。相反,并非每个具有名称和标签的漏洞都应被视为严重漏洞。“虽然CVSS在某些情况下会有所帮助并提供背景信息和一种轻松引用漏洞的方法,但我们应该深入了解更多的漏洞细节,而不仅仅是名称和标签,”Narang说。“每当你看到CVSS10时,你肯定知道这是一个错误,‘我需要放弃我正在做的事情并尽快修复它。’但并不是每个值得注意的漏洞都值得同等关注。我们想举的例子是“Boothole”,一个标记和命名的漏洞,影响绕过安全启动的Linux和Windows设备。这是一个有趣的错误,但可能不是总体上最紧迫的错误。与此同时,一些关键漏洞受到的关注较少。例如,Narang指出OracleWebLogic漏洞,这些漏洞通常作为Oracle关键补丁更新的一部分每季度发布一次。这些错误没有名字,但实际上也很严重。“新常态”正如报告所示,漏洞披露正在迅速增加,Tenable研究人员将其称为“新常态”。新漏洞的大量涌现可能是由于更多的研究人员、漏洞猎手和企业在漏洞赏金上投入资金。“我认为这是主要因素,漏洞赏金计划以及研究人员发现和披露漏洞的激励措施发挥了重要作用,”Narang说。在Tenable的研究中,越来越多的违规行为并不是唯一值得关注的趋势。在截至10月30日的一年中,该报告确定了730起公共数据泄露事件和220亿条暴露记录。此外,超过35%的零日漏洞是基于浏览器的,并发现18个勒索软件团伙正在运行泄漏站点。“勒索软件仍然是当今企业面临的最大威胁,”研究人员在报告中写道。谈到勒索软件,勒索是关键:勒索软件仍然是最具破坏性的全球网络威胁。“勒索软件攻击加剧了未修补的漏洞和数据泄露。未修补的漏洞暴露了敏感数据和系统,“为勒索软件攻击者创造了绝佳的机会。”报告发现,超过35%的数据泄露事件与勒索软件攻击有关,“这通常造成巨大的经济损失”。2019年的漏洞仍在发挥作用2020年充满了攻击、数据泄露和安全事件,而远程办公正在兴起等等,但让Tenable担心的是,2019年发现的漏洞仍在发挥作用——尤其是VPN漏洞。“在2020年的所有18,000个漏洞中,如果你查看2020年排名前五的漏洞,其中三个来自2019年,而2019年的这三个漏洞是你需要关注的,因为它们仍然会带来问题。”其中包括CVE-2018-13379:FortinetFortiOSSSL虚拟专用网络Web门户信息、CVE-2019-11510:PulseConnectSecure中的任意文件泄露,以及CVE-2019-19781:Citrix应用程序交付控制器(ADC)和网关。这些漏洞的修复程序已于2019年发布。“这些漏洞正被非常坚定的国家行为者利用。我想强调修复这些漏洞的重要性,因为这是通往您网络的门户,对我们所有人都非常重要”对于整个漏洞披露,在2021年的第一个月,情况似乎并没有好转。Tenable研究人员在周二的博客文章中指出,在2021年的第一个补丁星期二,微软修复了83个CVE,其中10个被评为严重。“与2020年1月相比,已打补丁的CVE数量增加了69%,”该博文称。
