当我们反思 2023 年的网络安全之旅时,我们发现了宝贵的经验教训,这些经验教训塑造了我们对不断变化的威胁和漏洞格局的理解。这些见解构成了我们来年强化风险管理战略的基石。在对 2023 年 CVE 的探索中,我们仔细研究了在威胁格局中留下不可磨灭印记的特定实例。
值得注意的是,我们的注意力被勒索软件迫在眉睫的阴影所吸引,这是一种在网络安全叙事中日益突出的持续威胁。本次审查植根于 Qualys 的细致研究,提供了对定义 2023 年错综复杂格局的漏洞的更深入了解。
将本文视为导航复杂网络地形的指南针。通过敏锐的视角,我们引导您了解网络安全形势的曲折,揭示需要关注的关键方面。通过反思过去一年中普遍存在的威胁,我们的目标是为您提供积极主动的见解,使您能够满怀信心、做好准备地面对 2024 年面临的挑战。
2023 年漏洞格局:深入研究数字
研究人员最初报告称,2023 年披露的漏洞数量激增,曝光的CVE 数量达到惊人的 26,447 个。这比上年增加了1500多个,延续了每年漏洞数量超过的趋势。
令人惊讶的是,这些漏洞中只有不到 1%属于最高风险类别——这些漏洞要么被威胁行为者利用、主动瞄准,要么有已证实的野外利用证据。
为了应对这一挑战,漏洞情报模块旨在监控漏洞更新和趋势,现在将EPSS 分数纳入漏洞英特尔卡中。EPSS(漏洞利用预测评分系统)简化了预测 CVE 在未来 30 天内被利用的可能性的复杂任务。
接下来,让我们看看哪些漏洞被认为是高风险并需要特别关注:
在这个关键部分中:
206 个漏洞很突出,配备了武器化的利用代码,由于成功利用的可能性很高,因此构成了重大威胁。
值得注意的是,从公开披露到利用可用的时间大约为 14 天。虽然在 2023 年出现的超过 26,000 个 CVE 的海洋中,206 个这个数字似乎令人放心,但它仍然是一个相当大的数字,为威胁行为者造成严重破坏提供了潜在的途径。
除了这些高风险漏洞之外,还有7,000 个漏洞具有概念验证 (PoC) 漏洞利用代码。尽管能够利用,但较低质量的利用代码可能会降低成功攻击的可能性。
利用 漏洞情报提供了一个了解这些漏洞的详细见解和更新的窗口,让组织知道是否存在可用的漏洞,并使他们能够领先于潜在的漏洞。
进一步分类显示,高风险漏洞包括:
115 个漏洞经常被威胁行为者利用。
CISA KEV 中列出了 109 个漏洞,承认它们容易被利用。
97 个漏洞在野外被利用,但由于特定的纳入标准而未在 CISA KEV 中列出。
这是因为利用并不是列入 KEV 目录的唯一标准;我们在另一篇博客文章中详细讨论了这一点,该文章涉及仅依靠 KEV 目录获取漏洞利用见解的组织所造成的时间范围问题。
更复杂的是,20 个漏洞遭到勒索软件团体的利用,而15 个漏洞则遭到恶意软件和僵尸网络团体的攻击。总之,尽管 206 个高风险漏洞只是庞大漏洞库的一个子集,但其中超过 50%都被威胁者、勒索软件或恶意软件利用。
2023 年最常见的漏洞类型
一项重要的发现出现了——到 2023 年,超过三分之一的已识别高风险 CVE 具有远程利用的潜力。排名前五的漏洞类型以远程代码执行 (RCE)为主,占发现总数的70%以上,其次是安全功能绕过和缓冲区操纵。
一个有趣的观察是,在我们的 2023 年 CISA KEV 目录审查中,权限升级漏洞是威胁行为者利用的最普遍类型,随后被添加到目录中。然而,Qualys 的研究涵盖了 2023 年发现的几乎所有漏洞,权限升级在最常见的五种漏洞类型中排名第五。
然而,权限升级始终保持其突出地位,并且在任何情况下都不会从顶级排名中下降。该研究的值得注意的发现强调了三种突出的 MITRE ATT&CK 策略——利用远程服务、利用面向公众的应用程序和利用特权升级。这些策略共同强调了全面漏洞管理策略的重要性,敦促组织加强针对网络设备和 Web 应用程序的威胁的防御。
漏洞被利用只有 44 天:2023 年高风险 CVE 的利用时间表
研究人员报告称,利用漏洞的平均时间仅为44 天,这意味着防御者正在与时间赛跑,以确保其数字环境的安全。
然而,在这个平均水平之下还有更紧迫的故事。在许多情况下,攻击者会毫不犹豫地利用漏洞。放大到关键的 0 到 25 天时间段,惊人的25% 的安全漏洞成为直接攻击目标,并且在漏洞公开披露的同一天发布了利用信息。该数据进一步显示,75% 的漏洞在发布后短短 19 天内就遭到利用。
这种时间敏感的场景强调了组织迅速确定优先级并解决关键漏洞、对补丁管理和威胁情报采取积极主动立场的重要性。
漏洞情报模块会努力跟踪已识别的漏洞,并提供及时更新。该平台辅以攻击面管理(ASM)模块,还可以确保数字资产的实时监控。警报可以快速洞察新出现的安全问题,包括可能影响您的组织的漏洞。
通过利用漏洞情报功能,组织可以快速获得洞察,促进无缝响应流程。这使他们能够有效地确定补丁的优先级、加强防御并主动防止潜在的利用。借助漏洞情报,有关漏洞的详细见解和更新以及可用漏洞的信息都触手可及,从而实现主动且警惕的网络安全态势。
解码 2023 年最常被利用的 CVE:勒索软件视角
在 2023 年的网络威胁迷宫中,某些漏洞成为了主要的利用目标,为阴险的勒索软件活动铺平了道路。
其中最臭名昭著的是CVE-2023-34362,即 MOVEit Transfer SQL 注入漏洞。Cl0p 勒索软件攻击中利用的这一漏洞已给至少 6000 万人留下了痕迹。Cl0p 威胁组织对 MOVEit 漏洞的利用凸显了该漏洞的大规模影响。
勒索软件领域的另一个参与者是 CVE-2023-0669,这是 Fortra GoAnywhere 托管文件传输 (MFT) 服务中的 RCE 漏洞。它的出现导致勒索软件攻击猛增 91%。该漏洞已被ALPHV (BlackCat)和LockBit以及 Cl0p 等勒索软件组织利用。
CVE-2023-27350 是一个影响PaperCut的不当访问控制漏洞,它成为勒索软件传播的渠道,其利用叙述中包括Cl0p 和 Bl00dy 勒索软件。
CVE-2023-24880 是一个 Windows SmartScreen 安全功能绕过漏洞,已成为中等严重性的零日漏洞,并已于2023 年 3 月的星期二补丁中修复。该漏洞在披露时已被积极利用;CISA KEV 目录确认它已被勒索软件攻击者利用。
CVE-2023-28252 是另一个 Windows 零日漏洞,影响通用日志文件系统 (CLFS) 驱动程序,助长了权限提升漏洞。CISA 于 2023 年 4 月将该漏洞添加到其 KEV 列表中,并在传播Nokoyawa 勒索软件中发挥了作用。
CVE-2023-29059与名为“SmoothOperator”的供应链攻击有关,目标是3CX VoIP 桌面客户端。它被利用来执行任意代码,通过受损的软件更新促进勒索软件攻击。它是此列表中唯一未包含在 CISA KEV 目录中的漏洞。
通过ASM,您可以访问CISA KEV检查和勒索软件检查功能。这些功能可以帮助验证漏洞是否已被 CISA 编入 KEV 中或在勒索软件操作中被利用;您随后可以访问有关这些漏洞的更多信息,如果这些漏洞当前正在影响您的组织,您可以获得可操作的见解以实现无缝修复过程。
此外,其他几个漏洞在 2023 年的利用中也得到了广泛应用,但它们是否参与勒索软件活动仍不清楚。值得注意的提及包括:
CVE-2023-20887(VMware Aria Operations for Networks 命令注入漏洞)
CVE-2023-22952(SugarCRM RCE 漏洞)
CVE-2023-23397(Microsoft Office Outlook 权限升级漏洞)
CVE-2023-2868(Barracuda Networks ESG 设备输入验证不当漏洞)
正如我们在 2024 年网络安全预测博客文章中所强调的那样,该文章借鉴了 Fortinet 的见解,勒索软件威胁行为者的重点从加密转向拒绝服务 (DoS) 和勒索。由于这一事实,勒索软件团体利用的漏洞越来越普遍,并且勒索威胁的创造力不断增强,因此采取积极主动的立场,领先于整个行业激增的威胁至关重要。
结论
随着披露的漏洞数量超过前几年,组织在强化数字边界方面面临着艰巨的挑战。
关键见解揭示了高风险漏洞的普遍性,2023 年发现的 CVE 总数中有1%由于主动利用而构成威胁。此外,时间也至关重要,漏洞利用的平均时间仅为44 天。漏洞利用在披露当天就成为现实的情况进一步放大了这种紧迫性,这表明威胁形势正在不断变化,需要迅速做出反应。
通过揭示 2023 年最容易被利用的漏洞,我们观察到与勒索软件操作的联系。CVE-2023-34362(MOVEit SQLi 漏洞)和 CVE-2023-0669(GoAnywhere MFT RCE 漏洞)等著名实例成为广泛勒索软件攻击的门户,敦促组织优先考虑补丁管理和威胁情报。
当我们展望未来时,主动采用多方面的漏洞管理方法变得至关重要。在应对这些挑战的过程中,ASM成为防御的灯塔。通过其漏洞情报和攻击面管理模块,组织可以获得实时洞察,确保其数字周边的安全。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...