2020年美國(guó)國(guó)家漏洞庫(kù)NVD報(bào)告了創(chuàng)紀(jì)錄數(shù)量的新安全漏洞18352個(gè)。今年，這個(gè)數(shù)字可能會(huì)更高（到9月30日有14792個(gè)）。零日漏洞的問(wèn)題在于，在供應(yīng)商和用戶都打了補(bǔ)丁之前，它仍然是零日漏洞。

今年有20%的新漏洞被NVD評(píng)為“嚴(yán)重程度高”?？紤]到惡意行為者利用這些漏洞的速度，Trustwave的研究人員決定調(diào)查并報(bào)告行業(yè)修補(bǔ)漏洞的速度。研究人員選擇了一系列引人注目的漏洞，并使用Shodan來(lái)檢測(cè)互聯(lián)網(wǎng)上仍然存在的漏洞實(shí)例。他們分別在7月22日、8月16日和8月31日進(jìn)行了搜索，以檢測(cè)打補(bǔ)丁的進(jìn)展。

　　研究人員選擇了今年比較典型且嚴(yán)重的七個(gè)漏洞進(jìn)行分析：

　　1、MS Exchange Server （ProxyShell和ProxyToken）；

　　2、Apache Tomcat （HTTP請(qǐng)求走私和QNAP NAS命令注入）；

　　3、VMware vCenter（多個(gè)漏洞）；

　　4、Pulse Connect（認(rèn)證旁路）；

　　5、F5 BIG-IP （RCE漏洞）；

　　6、MS Exchange Server （ProxyLogon）；

　　7、Oracle WebLogic Server （RCE）；

　　結(jié)果并不令人有些意外。例如，微軟在4月和5月修補(bǔ)了ProxyShell和ProxyToken漏洞，并在7月披露。“截至2021年8月31日，”研究人員說(shuō)，“Shodan的facet分析報(bào)告證實(shí)，大約有45K個(gè)實(shí)例容易受到ProxyShell的攻擊。”21.17%的MS Exchange服務(wù)器未打補(bǔ)丁。

　　搜索顯示，截止2021.08.31，繪制出微軟Exchange服務(wù)器漏洞分布熱力圖，美國(guó)有超過(guò)10500臺(tái)Exchange服務(wù)器易受ProxyShell攻擊（約23%），其次是德國(guó)約18%，英國(guó)約6%。

　　該模式與其他分析的漏洞相似。到2021年8月31日，超過(guò)一半的Apache Tomcat漏洞仍未修補(bǔ)；超過(guò)20%的Pulse Connect實(shí)例未打補(bǔ)丁。F5和MS ProxyLogon漏洞的實(shí)例數(shù)量都下降到了5%左右，但自2021年7月22日以來(lái)，這兩個(gè)漏洞的實(shí)例數(shù)量都只減少了約2%。

　　VPN漏洞是非常嚴(yán)重的問(wèn)題，理應(yīng)受到用戶的高度重視。2021年4月20日，有報(bào)道稱威脅行為者利用Pulse Connect Secure的零日漏洞。這是一個(gè)身份驗(yàn)證繞過(guò)漏洞，允許未經(jīng)身份驗(yàn)證的用戶在Pulse Connect安全網(wǎng)關(guān)（CVE-2021-22893）上執(zhí)行遠(yuǎn)程任意文件執(zhí)行。在公告發(fā)布后的2周內(nèi)沒(méi)有補(bǔ)丁可用。Pulse Connect Secure于2021年5月3日發(fā)布補(bǔ)丁。該漏洞的CVSS v3得分為10.0，這意味著它具有重大的風(fēng)險(xiǎn)。截至2021年8月4日，Shodan上有6319個(gè)Pulse Connect Secure漏洞。近29%的易感病例來(lái)自美國(guó)，其次是法國(guó)和日本，各占9%。中國(guó)也有199個(gè)實(shí)例。

　　Oracle WebLogic的漏洞要復(fù)雜一些。該軟件在2021年1月被甲骨文公司打了補(bǔ)丁。然而，到2021年7月22日，Shodan顯示，72%的面向互聯(lián)網(wǎng)的WebLogic實(shí)例沒(méi)有更新到新版本。但根據(jù)實(shí)際應(yīng)用的可利用性，這個(gè)數(shù)字在8月底下降到5.6%。令人擔(dān)憂的是，這比2021年8月16日的5.34%只有微弱的變化。

　　公司不能快速修補(bǔ)系統(tǒng)的原因有很多。然而，這里需要注意的一點(diǎn)是，網(wǎng)絡(luò)罪犯使用與Trustwave相同的研究技術(shù)，也就是Shodan等互聯(lián)網(wǎng)掃描工具。Trustwave在這次行動(dòng)中發(fā)現(xiàn)的每一個(gè)易受攻擊的例子，犯罪團(tuán)伙也都同樣能夠找到。那些沒(méi)有發(fā)生漏洞被利用的公司之所以依然如此，很可能是因?yàn)楣粽咭呀?jīng)挑選了其他目標(biāo)作為首選攻擊目標(biāo)。就是說(shuō)只是你的運(yùn)氣好一點(diǎn)點(diǎn)而已。

　　Trustwave總結(jié)稱， 攻擊者利用Shodan的遙測(cè)技術(shù)來(lái)收集易受攻擊的實(shí)例的信息，有時(shí)比有道德的黑客還要快。因此，組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ)。研究團(tuán)隊(duì)觀察到，在審查的漏洞中，至少有3個(gè)發(fā)現(xiàn)超過(guò)50%的可通過(guò)Internet訪問(wèn)的實(shí)例是存在漏洞的。事實(shí)上，這是在補(bǔ)丁發(fā)布幾周甚至幾個(gè)月后的情況。另一個(gè)關(guān)鍵觀察發(fā)現(xiàn)，互聯(lián)網(wǎng)上的通用支持軟件的壽命結(jié)束的數(shù)量很高。不支持的軟件版本沒(méi)有安全補(bǔ)丁，極大地增加了被利用的風(fēng)險(xiǎn)。在Internet上仍然可以看到啟用SMBv1和RDP的Windows目標(biāo)，使用已棄用的協(xié)議和遠(yuǎn)程訪問(wèn)工具為攻擊者提供了容易訪問(wèn)組織攻擊表面的機(jī)會(huì)，突顯了薄弱的安全態(tài)勢(shì)。

　　研究人員反復(fù)強(qiáng)調(diào)說(shuō)：“組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ)。”這是復(fù)雜的，因?yàn)榻M織并不總是知道他們的IT資產(chǎn)的全部——服務(wù)器被閑置和遺忘（因此未打補(bǔ)?。?，但仍然連接和可從互聯(lián)網(wǎng)訪問(wèn)，這不是未知的。類似地，新服務(wù)器在云中流轉(zhuǎn)起來(lái)很容易，用于單個(gè)任務(wù)（如測(cè)試），然后就被拋棄和遺忘，這增加了公司無(wú)形的IT資產(chǎn)。這些實(shí)際上未知的系統(tǒng)仍然會(huì)被Shodan發(fā)現(xiàn)，并可能被犯罪分子利用，以獲得一個(gè)不被發(fā)現(xiàn)的立足點(diǎn)進(jìn)入網(wǎng)絡(luò)。

　　Trustwave說(shuō)：“擁有最新的資產(chǎn)清單是至關(guān)重要的，特別是通過(guò)互聯(lián)網(wǎng)訪問(wèn)的目標(biāo)?！薄皩?duì)關(guān)鍵漏洞的攻擊通常短則不到一天，長(zhǎng)則一個(gè)月的時(shí)間，均可以得手，對(duì)于組織來(lái)說(shuō)，使用最新的安全更新持續(xù)監(jiān)控、跟蹤和更新資產(chǎn)是很重要的?！?/p>