由 Palo Alto Networks 最新公布的《2022 版 Unit 42 事件響應報告》可知,黑客一直在密切監視軟件供應商的公告板上是否有最新的 CVE 漏洞報告,並且會在極短的 15 分鐘內開始掃描易受攻擊的端點。這意味着系統管理員修復已披露安全漏洞的時間,要遠少於此前的預估。
漏洞利用的初始訪問方式推測
Palo Alto Networks 在一篇專題博客文章中提到,隨着威脅行為者競相在漏洞修補前加以利用,系統管理員將不得不打起 12 分精神。
更糟糕的是,由於漏洞掃描的技能要求並不高,所以水平較低的攻擊者也可輕鬆篩選互聯網上易受攻擊的端點,並將有價值的發現拋售到暗網市場上牟利。
以 CVE-2022-1388 為例,Unit 42 指出這是一個嚴重影響 F5 BIG-IP 產品、且未經身份驗證的遠程命令執行漏洞。
該漏洞於 2022 年 5 月 4 日披露,但在 CVE 公告發布十小時后,他們就已記錄 2552 次端點掃描和漏洞利用嘗試。
其次,報告指出“ProxyShell”是 2022 上半年被觸及最多的漏洞利用鏈(特指 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207),佔據了利用事件總數的 55% 。
Log4Shell 以 14% 緊隨其後,各種 SonicWall CVE 佔據了 7%、ProxyLogon 佔了 5%,而 Zoho ManageEngine ADSelfService Plus 中的遠程代碼執行(RCE)漏洞也有 3% 。
漏洞利用排行
統計數據表明,半舊(而不是最新)的缺陷,最容易被攻擊者所利用。發生這種情況的原因有許多,包括但不限於攻擊面的大小、漏洞利用的複雜性、及其能夠產生的實際影響。
有鑒於此,Palo Alto Networks 建議管理員儘快部署安全更新,以更好地避免系統成為零日 / CVE 公告發布初期的漏洞利用受害者。
此外 Unit 42 報告指出,利用軟件漏洞開展初始網絡破壞的方法,僅佔到 1/3 左右。
在 37% 的案例中,網絡釣魚仍是許多攻擊者的首選。另外在 15% 的案例中,黑客也會利用泄露憑證、或暴力破解來入侵網絡。
而針對特權員工的社會工程技巧、或賄賂流氓內部人員,也占所有漏洞攻擊響應事件的 10% 左右。
鑒於系統 / 網絡 / 安全管理專業人員已經面臨相當大的壓力,報告建議組織機構盡量讓設備遠離互聯網。
除了通過虛擬專用網(或其它安全網關)來限制對服務器的訪問以降低風險,非必要的公開端口和服務也必須盡量封堵上。
最後就是養成勤快部署安全更新的習慣,儘管快速部署關鍵更新會導致一定時間的業務中斷,但這總比面對遭遇全面網絡攻擊后難以彌補的局面要好得多。