近日有研究报告显示,新漏洞公开披露后15分钟内,攻击者会扫描易受攻击的端点,交由系统管理员修复。披露的安全漏洞比以前想象的要少。根据PaloAlto的2022Unit42事件响应报告,一些黑客一直在监控软件供应商的漏洞披露公告,这些公告可能被用于初始访问公司网络或远程代码执行。2022年攻击面管理威胁报告发现,攻击者通常会在CVE漏洞公布后15分钟内开始扫描漏洞。值得一提的是,由于扫描漏洞的要求并不高,低技能的攻击者也可以在互联网上扫描易受攻击的端点并在暗网市场上出售。几小时后,就会出现第一个活跃的利用尝试,通常会攻击将来会打补丁的系统。Unit42事件响应报告以2022年5月4日披露的CVE-2022-1388为例。据Unit42称,在CVE公布后的10小时内,他们记录了2552次扫描和利用尝试。不难看出,修补漏洞是系统维护者和恶意攻击者之间的一场时间赛跑,随着时间的推移,双方的延迟余地越来越小。2022年被利用最多的漏洞根据PaloAlto收集的数据,2022年上半年,网络访问中被利用最多的漏洞是“ProxyShell”漏洞利用链,占记录到的漏洞利用事件总数的55%。通过将CVE-2021-34473、CVE-2021-34523和CVE-2021-31207链接在一起来利用ProxyShell。Log4Shell以14%的总攻击记录位居第二,SonicWall的各种CVE占7%,ProxyLogon占5%,而ZohoManageEngineADSelfServicePlus的RCE在3%的案例中被利用。2022年上半年被利用最多的漏洞(第42单元)从这些统计数据可以看出,绝大多数利用都是来自半旧漏洞,而不是新披露的漏洞。发生这种情况的原因有多种,包括攻击面的大小、漏洞利用的复杂性和实际影响。更有价值和更好保护的系统的管理员被观察到快速应用安全更新,因为这些系统往往是漏洞披露后网络攻击的重要目标。还值得注意的是,该报告显示,利用软件漏洞作为初始网络危害的方法约占所用方法的三分之一,在37%的案例中,网络钓鱼是实现初始访问的首选方法。在15%的案例中,黑客通过暴力破解或使用泄露的凭证破坏了网络。最后,对特权员工使用社会工程攻击或贿赂内部人员占10%。攻击者如何在2022年上半年实现初始访问由于系统管理员、网络管理员和安全专业人员在应对最新的安全威胁和操作系统问题时已经承受着巨大的压力,攻击者只会如此迅速地瞄准他们的设备。会增加额外的压力。因此,如果可能,请尝试使用VPN等技术让您的设备远离互联网。通过限制对服务器的访问,管理员不仅可以降低漏洞利用的风险,还可以在漏洞成为内部目标之前应用安全更新。不幸的是,有些服务必须公开,这就需要管理员通过访问列表尽可能地加强安全性,只公开必要的端口和服务,并尽快应用更新。虽然快速应用关键更新可能会导致停机,但这比全面的网络攻击要好得多。参考文章:https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/
