2021年2月,IBM安全团队X-Force发布了《2021威胁情报指数》,报告显示漏洞利用已经成为2020年的头号威胁。对于攻击者来说,发现并利用未修补的问题或常见漏洞和网络中的暴露(CVE)具有最高的成功率,并且是获得对网络的初始访问权的最常见途径。事实上,漏洞利用的成功率已经超过了网络钓鱼电子邮件,在很大程度上取代了凭据盗窃,成为攻击者渗透网络的最可靠方法。现状:新漏洞虽多,但老漏洞威胁更大X-Force数据显示,Citrix服务器的目录遍历漏洞(CVE-2019-19871)是2020年被利用最多的漏洞,虽然这个相对较新的漏洞占据了Top从榜单的位置来看,以往的安全漏洞在2020年最常被利用的10大漏洞榜单中占据主导地位,2020年发现的前10大漏洞中只有2个。由于前几年的安全漏洞继续对未打补丁的设备和组织构成威胁,这些漏洞的累积效应使它们每年都更容易受到攻击。自1988年以来,每年发现的新漏洞数量总体呈上升趋势。2020年新发现的漏洞数量为17992个,到2020年底,发现漏洞总数达到峰值180171个。1988-2020年每年新发现和累积的漏洞(来源:X-ForceRed)对于安全从业者而言,快速识别和修复漏洞的重要性迫在眉睫。未修补的漏洞2CVE-2006-1547和CVE-2012-0391是2020年最引人注目的两个漏洞,它们都是ApacheStruts漏洞。这两个漏洞在X-Force的2020年最易被利用的漏洞榜单中分别排名第三和第四。虽然这两个漏洞已经发现了15年和9年,并且早已被修复,但很多时候仍然没有被修补,攻击者仍然试图大量利用它们。每年增加的新漏洞数量,加上旧漏洞的积累,是攻击者的大宝库。2020年十大漏洞榜单X-Force根据攻击者的频率和意图对2020年十大漏洞进行了排名。该排名基于2020年IBMX-Force事件响应(IR)和IBM托管安全服务(MSS)数据。根据调查结果,攻击者专注于企业内部网上常见的企业应用程序和开源框架。CVE-2019-19871:Citrix应用程序交付控制器(ADC)CVE-2018-2006:NoneCMSThinkPHP远程代码执行CVE-2006-1547:ApacheStruts中的ActionForm漏洞CVE-2012-0391:ApacheStruts的ExceptionDelegator组件CVE-2014-6271:GNUBash命令注入CVE-2019-0708:BluekeepMicrosoft远程桌面服务远程代码执行CVE-2020-8515:DraytekVigor命令注入CVE-2018-13382和CVE-2018-13379:FortinetFortiOS不当授权和目录遍历漏洞CVE-2018-11776:ApacheStruts远程代码执行CVE-2020-5722:HTTP:GrandstreamUCM6200SQL注入下面详细讨论以下三个主要漏洞1.CVE-2019-19871:Citrix应用交付控制器该漏洞披露于2019年12月,针对CitrixADC、CitrixGateway和NetScalerGateway,允许攻击者在Citrix服务器上执行任意代码或下载额外的有效载荷,例如允许命令ex的特洛伊木马后门执行和密码强制执行。此漏洞已在IBM的事件响应活动中多次出现,最活跃的是2020年上半年。仅在2020年第一季度,它就占所有初始妥协的25%。2020年1月,X-Force修复了多达59%的所有攻击。事实上,攻击者利用此漏洞的频率是X-Force事件响应活动中其他漏洞的15倍。IBM的托管安全服务经常观察到攻击者试图利用该漏洞的警报。2.CVE-2018-20062:NoneCMSThinkPHP远程代码执行2020年第二大被利用的漏洞是CVE-2018-200662,它允许攻击者执行任意PHP代码。X-Force威胁情报分析师观察到它主要针对物联网(IoT)设备。这与IBM对2020年物联网攻击急剧上升的预测一致。攻击者大多使用CVE-2018-2006来部署各种恶意软件,例如SpeakUp后门、Mirai僵尸网络和各种加密货币矿工。ThinkPHP是一个开源的PHP框架。虽然该漏洞已于2018年12月8日在ThinkPHP5.0.23和5.1.31中修复,但2018年12月11日发布的版本可被PoC利用,吸引了攻击者的持续攻击。延迟修补此漏洞可能与识别和修补物联网设备的难度有关。3.CVE-2006-1547:ApacheStruts中的ActionForm漏洞Struts是一个开源框架,通常用于创建JavaWeb应用程序。15年前发现的该漏洞可能会导致StrutsWeb应用程序崩溃,从而允许访问机密信息。攻击者意识到该框架的广泛使用所带来的机会,并利用了多个ApacheStruts漏洞。较旧的漏洞被越来越频繁地利用,提醒我们定期扫描Web应用程序以查找未修补的漏洞。未知漏洞呢?未公开的漏洞(包括零日漏洞)继续对企业网络构成威胁。企业可能会通过渗透测试发现未知漏洞。但X-Force观察到,已知的网络安全漏洞,即使采取了缓解措施,仍然比零日漏洞对企业构成更大的威胁。虽然企业无法控制对未知漏洞的利用,但可以针对已知漏洞采取结构化的行动,专注于该领域的相对回报更高。漏洞管理服务通过识别现有漏洞、确定其优先级和补救措施,帮助组织提高其资产的安全性。您如何防止网络中的漏洞?漏洞管理很复杂。在做决策时,需要考虑资产、数据分类、业务目标、风险和绩效基准,没有一刀切的解决方案。一些网络的机器和基础设施容易受到攻击,需要进行严格的测试以确保更新或补丁的应用不会失败。其他网络上的设备,即使有特定的补丁,也最好不要接收。漏洞管理始终是关于平衡风险,它从来都不是简单的一行。一些补丁管理操作:了解您的网络。定期清点网络上的设备,包括设备、操作系统、应用程序、版本、IP地址、云资产和这些系统的所有者。建议每季度一次。识别风险。使用漏洞管理工具和CrownJewelAnalysis来识别关键资产并分析哪些漏洞最有可能影响这些资产。在应用补丁之前进行测试。开发测试环境,模拟识别补丁部署到企业环境后可能出现的问题。建议在适当的测试设备和资产样本上应用补丁。部署补丁。在企业环境中部署新修复的补丁。一些漏洞管理工具可以自动部署补丁。参考链接(点击链接获取报告):https://securityintelligence.com/posts/top-10-cybersecurity-vulnerabilities-2020/
