在本文中,我们将讨论企业在处理漏洞时面临的挑战,解释安全漏洞是如何引发网络攻击的,以及为什么它会导致不可接受的事件。我们还将分享我们在识别趋势性漏洞方面的经验。
现代信息安全方法正在成为企业的工作流程。例如,不久前,整个 IT 行业都在向容器化发展,而对云环境的安全和保护机制的研究还是个新鲜事物。现在,几乎每家公司在产品架构开发阶段都会涉及这一主题。应用安全的发展方向,从以前只关注静态和动态分析仪的使用,转变为关注依赖性安全。毫无疑问,这是一个巨大的进步。但是,新方向并不总是能完全解决 IS 专家们众所周知的老问题。这方面的一个例子是对公司基础设施中资产的控制以及对已知漏洞的防护。
为什么了解漏洞很重要
首先,必须了解攻击者是如何利用一般漏洞的。攻击者利用软件漏洞的目的是利用这些漏洞成功发起攻击,如加密、破坏或窃取数据。攻击成功与否取决于潜在受害者是否意识到安全漏洞、是否安装了更新以及受攻击系统的配置。零日漏洞,即无人知晓的漏洞,是犯罪分子的最佳选择。但是,每一次攻击除了要达到目的外,还要付出代价:攻击者希望花费尽可能少的资源(时间和金钱)。要创建一个利用零日漏洞的漏洞利用程序,攻击者至少需要
1. 发现漏洞。
2.验证这是一个漏洞。
3. 确定受该漏洞影响的软件版本列表。
4.创建利用场景。
5.创建概念验证漏洞。
这绝不是一份完整的清单!但是,如果攻击的受害者不定期更新系统,并忽视保护系统配置(这种情况经常发生),攻击者就更容易利用已知的漏洞。这就大大降低了攻击者的成本和所需的准备步骤:几个相对简单的步骤就足够了。如果已经有合适的漏洞,一般就可以进行攻击。同时,攻击者必须避免被内部信息安全部门发现(当然,如果它能及时发现攻击并对事件做出反应的话)。
因此,在其他条件相同的情况下,对攻击者来说,花费较少的资源利用已知的漏洞(有时甚至有公开的漏洞利用方法)往往比寻找零日漏洞并自己编写漏洞利用方法更容易。较低的准入门槛也增加了攻击者的数量,因为寻找零日漏洞和开发漏洞利用程序都需要较高的技能以及更多的时间和资源。随着攻击者数量的增加,攻击次数也会增加。
综上所述,了解公司基础设施中的已知漏洞是非常有价值的。
漏洞修复的挑战
公司在更新软件和修复安全漏洞时面临以下挑战:
1. 找到有关漏洞的最新信息源。
2. 保持对基础设施的最新了解,无论其规模有多大。
3. 定期快速更新公司的所有设备,同时考虑到在更新过程中尽量减少服务质量下降的要求。
在这种情况下,最严重的问题通常是如何解决第三项任务。缺乏定期、快速更新的原因几乎总是归结为一点:大多数公司还不够成熟,无法完全支持这一过程。对于每分钟都要花费大量资金的系统来说,这一点尤其困难。即便如此,黑客利用相同系统的漏洞显然会给企业带来更大的损失。因此,必须有一条出路。
趋势和优先次序
解决方案是确定优先次序。这是一种首先处理趋势性漏洞的方法,即攻击者已经在积极利用或将在不久的将来开始利用的漏洞。MaxPatrol VM 可帮助您检测此类漏洞,并就尽快关闭哪些漏洞做出正确决策。
让我们来确定哪些漏洞会成为趋势。例如,考虑操作系统中允许权限升级的漏洞。攻击者需要提升系统的权限,才能在基础设施中站稳脚跟,并进一步展开攻击。这通常是通过利用允许本地权限升级(LPE)的安全漏洞来实现的。但这些漏洞存在一个问题:它们通常很快就会被发现和消除。目前,攻击者可能可以利用一个漏洞,但几个月或半年后,许多潜在受害者都会修补这个漏洞,这意味着攻击者需要一个更新的漏洞。
例如,Win32k(Windows 组件)可能存在权限升级 - CVE-2023-29336。该漏洞在 5 月份的 "微软补丁星期二 "上被披露,数据被迅速传送到 MaxPatrol VM。我们将其评估为趋势性漏洞,因为我们认为被利用的可能性很高。这在一个月后得到了证实:6 月 7 日,一个公开的概念验证发布,攻击者可以根据自己的需要对其进行 "调整"。
CVE-2023-0386是影响绝大多数以Linux内核为标准的发行版的漏洞。该漏洞包含在 OverlayFS 内核子系统中,会导致拥有最低权限的攻击者将其在系统中的权限升级到超级用户权限。与 Linux 上的其他 LPE 漏洞不同,利用它所需的条件要少得多,而且没有重大限制。在公开发布概念验证时,补丁刚刚发布,并非所有公司都来得及更新。
目前流行的漏洞包括那些有助于攻击者渗透到组织外围的漏洞。例如,FortiOS 中的零日漏洞 CVE-2023-27997,目前已有公开的漏洞利用程序。Fortinet 产品通常用于外围防御,外部攻击者已经利用了这一漏洞。攻击者使用特制的网络数据包,溢出缓冲区,以超级用户权限远程执行代码。
趋势性漏洞是不可接受事件的第一步
现在,让我们考虑一下可能成为不可接受事件关键的趋势性漏洞。例如,对于与业务流程密不可分的 SAP Business Suite 产品的用户来说,SAP NetWeaver 构建服务中的 CVE-2021-33690 就是一个例子。由于广泛的定制和供应商访问限制,此类产品中的缺陷很难调查。由于不能容忍业务解决方案的降级和定制增强功能的数量,公司(尤其是大型公司)很难更新产品。我们估计,仍有足够数量的组织利用这一漏洞进行攻击,最终可能导致不可接受的事件。
我们不断研究当前的网络威胁形势并捕捉所有变化,以便正确评估已知漏洞的潜力。在此基础上,我们利用专业知识丰富我们的产品 MaxPatrol VM:这就是我们的客户如何获得有关已知漏洞及其基础设施所面临的潜在风险的最大信息。我们在 12 小时内向产品提供有关最危险的趋势性漏洞的数据,以防止发生不可接受的事件。
