報告警示黑客會在CVE公告披露15分鐘內嘗試掃描并利用漏洞

由 Palo Alto Networks 最新公布的《2022 版 Unit 42 事件響應報告》可知，黑客一直在密切監視軟件供應商的公告板上是否有最新的 CVE 漏洞報告，并且會在極短的 15 分鐘內開始掃描易受攻擊的端點。這意味著系統管理員修復已披露安全漏洞的時間，要遠少于此前的預估。

Palo Alto Networks 在一篇專題博客文章中提到，隨著威脅行為者競相在漏洞修補前加以利用，系統管理員將不得不打起 12 分精神。

更糟糕的是，由于漏洞掃描的技能要求并不高，所以水平較低的攻擊者也可輕松篩選互聯網上易受攻擊的端點，并將有價值的發現拋售到暗網市場上牟利。

以 CVE-2022-1388 為例，Unit 42 指出這是一個嚴重影響 F5 BIG-IP 產品、且未經身份驗證的遠程命令執行漏洞。

該漏洞于 2022 年 5 月 4 日披露，但在 CVE 公告發布十小時后，他們就已記錄 2552 次端點掃描和漏洞利用嘗試。

其次，報告指出“ProxyShell”是 2022 上半年被觸及最多的漏洞利用鏈（特指 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207），占據了利用事件總數的 55% 。

Log4Shell 以 14% 緊隨其后，各種 SonicWall CVE 占據了 7%、ProxyLogon 占了 5%，而 Zoho ManageEngine ADSelfService Plus 中的遠程代碼執行（RCE）漏洞也有 3% 。

統計數據表明，半舊（而不是最新）的缺陷，最容易被攻擊者所利用。發生這種情況的原因有許多，包括但不限于攻擊面的大小、漏洞利用的復雜性、及其能夠產生的實際影響。

有鑒于此，Palo Alto Networks 建議管理員盡快部署安全更新，以更好地避免系統成為零日 / CVE 公告發布初期的漏洞利用受害者。

此外 Unit 42 報告指出，利用軟件漏洞開展初始網絡破壞的方法，僅占到 1/3 左右。

在 37% 的案例中，網絡釣魚仍是許多攻擊者的首選。另外在 15% 的案例中，黑客也會利用泄露憑證、或暴力破解來入侵網絡。

而針對特權員工的社會工程技巧、或賄賂流氓內部人員，也占所有漏洞攻擊響應事件的 10% 左右。

鑒于系統 / 網絡 / 安全管理專業人員已經面臨相當大的壓力，報告建議組織機構盡量讓設備遠離互聯網。

除了通過虛擬專用網（或其它安全網關）來限制對服務器的訪問以降低風險，非必要的公開端口和服務也必須盡量封堵上。

最后就是養成勤快部署安全更新的習慣，盡管快速部署關鍵更新會導致一定時間的業務中斷，但這總比面對遭遇全面網絡攻擊后難以彌補的局面要好得多。