不是我懶，王者級漏洞真不用修！

漏洞排查與處置，是安全管理員在安全運營中都會碰到的問題，常見卻很難做好。

漏洞排查算不上復雜，很多工具都能發現漏洞，但處置起來卻是個大麻煩。這不，看著x省分公司安全管理員小A報上來的漏洞修復方案，內容多到我都為他摸了一把汗：“照你這方案，要到猴年馬月才能修完？”

想到還有萬千小A還在吭哧吭哧踩坑，我決定跟大家共享一份光明正大“摸魚”《修復超級漏洞攻略》。

安全人不騙安全人：有些高分漏洞真的不用修

以今年5月GitLab爆出的任意文件讀取漏洞（CVE-2023-2825）為例。

GitLab按CVSS（ Common Vulnerability Scoring System，通用漏洞評分系統）評分標準將這個漏洞評為10分（最高10分，即滿分）。一般來說，漏洞的評分越高，其危害性就越大，比如2021年爆出的Apache log4j漏洞（CVE-2021-44228），這個滿分漏洞被業界稱之為“核彈級”漏洞，危害巨大，影響廣泛。

那么，GitLab評出來的這個滿分漏洞，也如Log4j那般，是一個“核彈級”漏洞嗎？

然而并非如此，這個滿分漏洞甚至都無需修復。因為CVSS評分高低與漏洞是否會被利用沒有必然關系。

就GitLab這個漏洞而言，雖然CVSS評分滿分，但利用條件非常苛刻，首先需要一個公開的至少5級目錄的項目組；其次，這個項目組下要存在公開項目，還必須有附件；而且限定在16.0.0這個版本。利用條件太苛刻了，幾乎沒有被黑客利用的機會，所以修復的優先級沒必要那么高。

相當于這個武器有五萬斤，攻擊者得連夜徒手搬到你家門口來，你是不是就沒那么害怕了？

也就是說，CVSS評分只是一個參考標準，據Gartner公開的一組數據顯示，相比于CVSS高分（高危）漏洞，被黑客利用的中危漏洞占比更多。

在實際工作中，修復漏洞要考慮更多的因素。比如漏洞的易用性、影響范圍、利用成功后的權限大小等，然后再綜合權衡，就像你不會單單依據全球最美500人排行榜找對象一樣。

那我們應該怎么找對象？哦不，應該怎么修漏洞以及確定修復漏洞的優先級？

修漏洞的正確姿勢

首先，優先級最高的肯定是在野利用的漏洞，比如Apache Log4j漏洞，雖然在2021年就公開了，但仍有很多企業沒有修復，所以有很多攻擊者使用。這是最近6個月內，攻擊者利用Apache Log4j漏洞發起的攻擊次數統計，攻擊成功則表明仍有企業未修復此漏洞。 

在統計數據中，也可以看到攻擊者用于攻擊的代碼，以及攻擊的周期分布，幾乎每天都有攻擊者利用此漏洞發起攻擊，攻擊成功的次數也不少。

除了在野利用以外，還是要再強調一遍，根據漏洞的易用性、影響范圍、利用成功后的權限大小等因素綜合評估。

“這不一說就會，一練就廢么？”小A明顯有些不滿，“小微，有簡單易操作的辦法么？”

你要這樣問，我就得打個廣告了：微步威脅情報管理平臺TIP上線新能力，依靠強大的漏洞情報，讓漏洞處置清晰好用。

事實上，TIP的優勢，也是小微認為在漏洞處理過程中，必須具備的能力。

首先，漏洞情報不但要新，還要有重點。TIP實時提供最新漏洞信息，并標注重點漏洞情報。所有情報都提供漏洞描述、影響、評價、解決方案、補丁列表、參考鏈接、公開的POC詳情與CPE等信息。同時還支持添加關注供應商，降低供應鏈攻擊風險；并可通過API接口直接推送情報到其他安全設備；

其次，要有漏洞攻擊畫像，知己知彼，方能百戰不殆。TIP提供高價值漏洞畫像信息，包括利用該漏洞的攻擊發生時間、攻擊影響的資產、是否有攻防演練相關IP、是否有團伙相關IP、攻擊行為（針對不同方式、不同結果）、攻擊者Top5、最近6個月攻擊態勢等，為漏洞處置提供依據；

第三，要有0day預警，嚴防降維打擊。TIP提供最新0day漏洞預警，與臨時修復方案。微步通過X漏洞獎勵計劃、專業漏洞挖掘團隊，以及攻防實戰等方式收集0day漏洞，并在第一時間將0day漏洞詳情及加固方案更新到TIP中，幫助用戶防患未然；

第四，全面掌握漏洞細節，處置方法清晰可落地。TIP對已公布漏洞、0day漏洞提供完整分析報告，報告內容包括代碼分析、漏洞利用分析、攻擊排查分析、漏洞自查方法、臨時處置建議等，最小化用戶漏洞排查與處置難度。

沒有人可以單槍匹馬面對身處暗夜的無數攻擊者，沒有人可以對所有漏洞信息了然于心。但是，如果可以選擇，你可以選擇一個靠譜、專業的團隊（TIP）在你身后。

選擇，也是一種力量。