由 Palo Alto Networks 最新公布的《2022 版 Unit 42 事件響應(yīng)報(bào)告》可知，黑客一直在密切監(jiān)視軟件供應(yīng)商的公告板上是否有最新的 CVE 漏洞報(bào)告，并且會(huì)在極短的 15 分鐘內(nèi)開(kāi)始掃描易受攻擊的端點(diǎn)。這意味著系統(tǒng)管理員修復(fù)已披露安全漏洞的時(shí)間，要遠(yuǎn)少于此前的預(yù)估。

漏洞利用的初始訪問(wèn)方式推測(cè)

Palo Alto Networks 在一篇專題博客文章中提到，隨著威脅行為者競(jìng)相在漏洞修補(bǔ)前加以利用，系統(tǒng)管理員將不得不打起 12 分精神。

更糟糕的是，由于漏洞掃描的技能要求并不高，所以水平較低的攻擊者也可輕松篩選互聯(lián)網(wǎng)上易受攻擊的端點(diǎn)，并將有價(jià)值的發(fā)現(xiàn)拋售到暗網(wǎng)市場(chǎng)上牟利。

以 CVE-2022-1388 為例，Unit 42 指出這是一個(gè)嚴(yán)重影響 F5 BIG-IP 產(chǎn)品、且未經(jīng)身份驗(yàn)證的遠(yuǎn)程命令執(zhí)行漏洞。

該漏洞于 2022 年 5 月 4 日披露，但在 CVE 公告發(fā)布十小時(shí)后，他們就已記錄 2552 次端點(diǎn)掃描和漏洞利用嘗試。

其次，報(bào)告指出“ProxyShell”是 2022 上半年被觸及最多的漏洞利用鏈（特指 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207），占據(jù)了利用事件總數(shù)的 55% 。

Log4Shell 以 14% 緊隨其后，各種 SonicWall CVE 占據(jù)了 7%、ProxyLogon 占了 5%，而 Zoho ManageEngine ADSelfService Plus 中的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞也有 3% 。

漏洞利用排行

統(tǒng)計(jì)數(shù)據(jù)表明，半舊（而不是最新）的缺陷，最容易被攻擊者所利用。發(fā)生這種情況的原因有許多，包括但不限于攻擊面的大小、漏洞利用的復(fù)雜性、及其能夠產(chǎn)生的實(shí)際影響。

有鑒于此，Palo Alto Networks 建議管理員盡快部署安全更新，以更好地避免系統(tǒng)成為零日 / CVE 公告發(fā)布初期的漏洞利用受害者。

此外 Unit 42 報(bào)告指出，利用軟件漏洞開(kāi)展初始網(wǎng)絡(luò)破壞的方法，僅占到 1/3 左右。

在 37% 的案例中，網(wǎng)絡(luò)釣魚仍是許多攻擊者的首選。另外在 15% 的案例中，黑客也會(huì)利用泄露憑證、或暴力破解來(lái)入侵網(wǎng)絡(luò)。

而針對(duì)特權(quán)員工的社會(huì)工程技巧、或賄賂流氓內(nèi)部人員，也占所有漏洞攻擊響應(yīng)事件的 10% 左右。

鑒于系統(tǒng) / 網(wǎng)絡(luò) / 安全管理專業(yè)人員已經(jīng)面臨相當(dāng)大的壓力，報(bào)告建議組織機(jī)構(gòu)盡量讓設(shè)備遠(yuǎn)離互聯(lián)網(wǎng)。

除了通過(guò)虛擬專用網(wǎng)（或其它安全網(wǎng)關(guān)）來(lái)限制對(duì)服務(wù)器的訪問(wèn)以降低風(fēng)險(xiǎn)，非必要的公開(kāi)端口和服務(wù)也必須盡量封堵上。

最后就是養(yǎng)成勤快部署安全更新的習(xí)慣，盡管快速部署關(guān)鍵更新會(huì)導(dǎo)致一定時(shí)間的業(yè)務(wù)中斷，但這總比面對(duì)遭遇全面網(wǎng)絡(luò)攻擊后難以彌補(bǔ)的局面要好得多。