[调研] 漏洞利用加速

2022年，大规模新漏洞利用比上一年降低了15%，零日漏洞攻击比2021年减少了52%；用作勒索软件攻击渠道的漏洞利用减少了33%。表面上看起来，安全团队去年的日子还是相对舒服一些的。但事实却可能并非如此。

以上数据出自Rapid7自2020年开始的年度出版物《漏洞情报》报告最新版。本期报告中最令人担忧的事情就是从漏洞披露到漏洞利用之间的时间间隔正在缩短。Rapid7安全研究高级经理Caitlin Condon表示：“大量漏洞在安全团队有时间实施修复或者其他缓解措施之前就被利用了。”

准确讲，报告中56%的漏洞在公开披露后七天之内就被利用了：比2021年增加了12%，比2020年增加了87%。可用于分类和修复漏洞的资源依然有限，且优先处理顺序也可能被误导。

Log4Shell漏洞的炒作就是个很好的例子。报告指出：“很多企业花费2022年头几周（或几个月）的时间梳理Log4Shell那长长的修复措施列表，进一步掏干了本就被预算缩减和疫情疲累耗尽的IT和安全团队资源。”

但Log4Shell之后还有Spring4Shell和Text4Shell。Condon称，“有一堆顶着4Shell名头的新漏洞。”也就是说，这些漏洞徒有Log4Shell名头而其实不符，规模实际上并没有Log4Shell那么大。但是高管看到这些报告却不会这么想，只会质问自家安全人员：你们都在干啥？“安全团队没法回答说，‘是啊，这漏洞叫4Shell，但没什么大不了的，我们不会优先处理。”Condon称。结果就是，在重大漏洞的利用时间显著缩短的同时，资源却无意中从重大漏洞转向了不那么重要的漏洞上。

而被问及对安全团队而言炒作是否是个问题时，Condon回答称，很有可能。她认为，媒体，尤其是安全媒体，通常都是能带来好处的。“但如果你是研究人员，想在Twitter上获得2000条转发并被录用，那你就有足够动力去炒作了，而这会给记者造成压力。在自家产品能够提供缓解的时候，不是所有的安全供应商都那么无辜的。”

Condon认为，可以从Rapid7这份最新发布的研究报告中得出三个要点。首先，尽管已经从2021年的66%下降到了2022年的56%，但大规模威胁占比仍然很高。报告中写道：“除了越来越多样的勒索软件攻击载荷，大规模漏洞利用中释放的常见攻击载荷还有加密货币挖矿机、Web shell，以及各种僵尸网络恶意软件。”

其次是勒索软件生态的复杂性及其对可见性和统计数据的影响。“2022年，我们可以明确映射到勒索软件事件的漏洞下降了三分之一。在我们和其他很多公司观察到勒索软件事件总量增加的时候，为什么会出现这种情况？”

显而易见，相比2021年，勒索软件团伙利用的新漏洞数量减少了。“这或许是其中部分因素，但几乎可以肯定不是事情的全貌——整个勒索软件生态和广大地下网络世界的多样化在其中发挥了重要作用。”

其间影响很复杂。所用漏洞数量减少而勒索软件家族数量增加的情况意味着，安全团队不得不跟踪更多恶意攻击载荷，追溯更多攻击战术、技术和流程（TTP）。“所有这些都可能会降低行业对勒索软件CVE映射的可见性（至少短期内如此），削弱行业追踪完整攻击链和时间线的信心。由于勒索软件生态的多样化和新漏洞利用的减少，我们可能会能难以看清某些攻击活动。”

而Condon的第三个要点——新漏洞从披露到遭利用的时间，更是助长了这种复杂性。“我们认为，对安全从业人员而言，漏洞从披露到遭利用之间的时间是个非常关键的指标。安全人员不仅必须选择优先处理哪些漏洞，还必须靠往往非常有限的资源向其上级和整个公司证明自己的选择是合理的。”

图：漏洞从披露到利用的时间

即使考虑到零日漏洞利用的统计干扰，过去三年里漏洞披露和利用之间的时间间隔也在稳步缩短。“2020年，我们报告的漏洞中30%都在披露一周之内就遭到了野生利用。2021年，这一比例上升到了50%。2020年，披露一周之内就遭到野生利用的漏洞占比增加到了56%。” 

从技术上讲，这些漏洞中有一些可以被归为零日漏洞或n日漏洞。“至少有六个案例是披露当时虽然没被利用，却在几天之内就遭到了利用。”但Rapid7并没有试图区分零日漏洞或非零日漏洞。Rapid7的重点主要集中在漏洞利用时间上。

“数据不是很好，对我们很多客户而言不是个好消息。”在后疫情时代的压力和不受监管的居家过量工作已经引发越来越严重的职业倦怠之时，大规模漏洞利用、勒索软件事件可见性降低，以及新漏洞那极短的漏洞利用时间，只会增加安全团队承受的压力。

Rapid7《2022年漏洞情报》报告：
https://www.rapid7.com/thank-you/2022-vulnerability-intelligence-report/

参考阅读