舊的安全漏洞如何繼續構成威脅

Rezilion 說，可以追溯到 10 多年前的安全漏洞仍然存在，并且仍然存在被自由利用的風險。

Forstock，Shutterstock / Forstock

修補安全漏洞應該是一個簡單的過程。供應商針對已知缺陷發布補丁，所有受影響的組織都應用該補丁。但是，理論上看起來很簡單的事情在現實中不一定如此。安全公司 Rezilion 于 8 月 8 日星期一發布的一份報告研究了供應商修補的舊漏洞如何仍然對組織構成風險。

威脅格局跨越十年的已知漏洞

在其報告Vintage Vulnerabilities Are Still In Style中，Rezilion 檢查了由 CISA（網絡安全和基礎設施安全局）維護的已知被利用漏洞目錄（圖 A）。在清單上的 790 個安全漏洞中，有 400 多個可以追溯到 2020 年之前。大約 104 個來自 2019 年，70 個來自 2018 年，73 個來自 2017 年。大約 17 個可以追溯到 2010 年。

圖A

圖片：Rezilion。每年現有安全漏洞的數量。

從 2010 年到 2020 年發現的漏洞影響了超過 450 萬個面向互聯網的系統和設備。

老式漏洞的無效補丁管理使公司容易受到攻擊

盡管多年來這些“老式漏洞”的修復程序一直可用，但其中許多仍未被客戶和組織修補。因此，它們仍然可以被自由利用，從而為尚未更新的軟件和設備帶來風險。事實上，Rezilion 在過去 30 天內檢測到對大多數此類安全漏洞的主動掃描和利用嘗試。

該問題存在于安全漏洞的生命周期中。一開始，產品中存在的安全漏洞可能會被利用，因為目前還沒有補丁存在，盡管沒有人知道它。如果網絡犯罪分子確實知道了這個漏洞，那么它就會被歸類為零日漏洞。在供應商發布并部署補丁后，該漏洞仍然可以被利用，但僅限于尚未應用補丁的環境中。

但是，IT 和安全團隊需要了解供應商提供的可用補丁，確定優先考慮哪些補丁，并實施用于測試和安裝這些補丁的系統。如果沒有一種有組織且有效的補丁管理方法，整個過程很容易在任何一點上絆倒。精明的網絡犯罪分子意識到這一切，這就是他們繼續利用供應商早已修復的缺陷的原因。

常用的老式漏洞

以下是 Rezilion 發現的眾多老式安全漏洞中的一部分：

CVE-2012-1823

PHP CGI 遠程代碼執行是一個驗證漏洞，它允許遠程攻擊者通過將命令行選項放入 PHP 查詢字符串來執行代碼。已知在野外被利用，這個漏洞已經存在了 10 年。

CVE-2014-0160

進程內存漏洞 (HeartBleed) 導致的 OpenSSL 敏感信息泄漏會影響傳輸層安全性 (TLS) 的心跳擴展。在 OpenSSL 1.0.1 到 1.0.1f 中，此錯誤可能會將內存內容從服務器泄漏到客戶端，反之亦然，從而允許 Internet 上的任何人使用易受攻擊的 OpenSSL 軟件版本讀取該內容。在野外被利用，這個在 2014 年 4 月被公開。

CVE-2015-1635

Microsoft HTTP.sys 遠程代碼執行漏洞是 Microsoft Internet 信息服務 (IIS) 中 HTTP 協議處理模塊 (HTTP.sys) 中的一個缺陷，它可能允許攻擊者通過向易受攻擊的 Windows 系統發送特殊 HTTP 請求來遠程執行代碼. 在野外被利用，這個錯誤已經活躍了七年多。

CVE-2018-13379

Fortinet FortiOS 和 FortiProxy是 FortiProxy SSL VPN 門戶網站中的一個漏洞，它可能使遠程攻擊者能夠通過特殊的 HTTP 資源請求下載 FortiProxy 系統文件。在野外被利用，這個漏洞已經存在了四年多。

CVE-2018-7600

Drupal 遠程代碼執行漏洞(Drupalgeddon2) 是一個影響多個不同版本 Drupal 的遠程代碼執行漏洞。攻擊者可以利用這個漏洞來強制運行 Drupal 的服務器執行可能危及安裝的惡意代碼。在野外開發，這個已經活躍了四年多。

管理安全漏洞補丁的提示

為了幫助組織更好地管理安全漏洞的修補，Rezilion 提供了幾條建議。

注意攻擊面

確保您能夠通過關聯的 CVE 查看現有的攻擊面，并且可以識別環境中需要修補的易受攻擊的資產。為此，您應該擁有一份軟件物料清單 (SBOM)，它是您使用的應用程序中所有開源和第三方組件的清單。

使用正確的支持流程備份補丁管理

為了支持有效的補丁管理策略，應該有特定的流程，包括變更控制、測試和質量保證，所有這些都可以解決潛在的兼容性問題。

確保漏洞和補丁管理工作可以擴展

補丁管理流程到位后，您需要能夠輕松擴展它。這意味著隨著更多漏洞的發現而擴大修補工作。

優先處理最關鍵的漏洞

鑒于已發現的大量安全漏洞，您不可能全部修補。相反，專注于最重要的補丁。僅通過CVSS等指標進行優先級排序可能還不夠。相反，尋找一種基于風險的方法，通過這種方法，您可以識別高風險漏洞并將其優先于小錯誤。為此，請通過咨詢 CISA 的已知已利用漏洞目錄或其他威脅情報來源，檢查哪些漏洞在野外被利用。然后，確定您的環境中甚至存在哪些漏洞。

持續監控和評估補丁管理策略

監控您的環境以確保漏洞保持修復且補丁保持到位。在某些情況下，Rezilion 發現已經修補的易受攻擊的代碼通過CI/CD（持續集成和持續部署）流程添加回生產環境的實例。