2020年美國國家漏洞庫NVD報告了創(chuàng)紀(jì)錄數(shù)量的新安全漏洞18352個。今年，這個數(shù)字可能會更高（到9月30日有14792個）。零日漏洞的問題在于，在供應(yīng)商和用戶都打了補(bǔ)丁之前，它仍然是零日漏洞。

今年有20%的新漏洞被NVD評為“嚴(yán)重程度高”。考慮到惡意行為者利用這些漏洞的速度，Trustwave的研究人員決定調(diào)查并報告行業(yè)修補(bǔ)漏洞的速度。研究人員選擇了一系列引人注目的漏洞，并使用Shodan來檢測互聯(lián)網(wǎng)上仍然存在的漏洞實(shí)例。他們分別在7月22日、8月16日和8月31日進(jìn)行了搜索，以檢測打補(bǔ)丁的進(jìn)展。

　　研究人員選擇了今年比較典型且嚴(yán)重的七個漏洞進(jìn)行分析：

　　1、MS Exchange Server （ProxyShell和ProxyToken）；

　　2、Apache Tomcat （HTTP請求走私和QNAP NAS命令注入）；

　　3、VMware vCenter（多個漏洞）；

　　4、Pulse Connect（認(rèn)證旁路）；

　　5、F5 BIG-IP （RCE漏洞）；

　　6、MS Exchange Server （ProxyLogon）；

　　7、Oracle WebLogic Server （RCE）；

　　結(jié)果并不令人有些意外。例如，微軟在4月和5月修補(bǔ)了ProxyShell和ProxyToken漏洞，并在7月披露?！敖刂?021年8月31日，”研究人員說，“Shodan的facet分析報告證實(shí)，大約有45K個實(shí)例容易受到ProxyShell的攻擊。”21.17%的MS Exchange服務(wù)器未打補(bǔ)丁。

　　搜索顯示，截止2021.08.31，繪制出微軟Exchange服務(wù)器漏洞分布熱力圖，美國有超過10500臺Exchange服務(wù)器易受ProxyShell攻擊（約23%），其次是德國約18%，英國約6%。

　　該模式與其他分析的漏洞相似。到2021年8月31日，超過一半的Apache Tomcat漏洞仍未修補(bǔ)；超過20%的Pulse Connect實(shí)例未打補(bǔ)丁。F5和MS ProxyLogon漏洞的實(shí)例數(shù)量都下降到了5%左右，但自2021年7月22日以來，這兩個漏洞的實(shí)例數(shù)量都只減少了約2%。

　　VPN漏洞是非常嚴(yán)重的問題，理應(yīng)受到用戶的高度重視。2021年4月20日，有報道稱威脅行為者利用Pulse Connect Secure的零日漏洞。這是一個身份驗(yàn)證繞過漏洞，允許未經(jīng)身份驗(yàn)證的用戶在Pulse Connect安全網(wǎng)關(guān)（CVE-2021-22893）上執(zhí)行遠(yuǎn)程任意文件執(zhí)行。在公告發(fā)布后的2周內(nèi)沒有補(bǔ)丁可用。Pulse Connect Secure于2021年5月3日發(fā)布補(bǔ)丁。該漏洞的CVSS v3得分為10.0，這意味著它具有重大的風(fēng)險。截至2021年8月4日，Shodan上有6319個Pulse Connect Secure漏洞。近29%的易感病例來自美國，其次是法國和日本，各占9%。中國也有199個實(shí)例。

　　Oracle WebLogic的漏洞要復(fù)雜一些。該軟件在2021年1月被甲骨文公司打了補(bǔ)丁。然而，到2021年7月22日，Shodan顯示，72%的面向互聯(lián)網(wǎng)的WebLogic實(shí)例沒有更新到新版本。但根據(jù)實(shí)際應(yīng)用的可利用性，這個數(shù)字在8月底下降到5.6%。令人擔(dān)憂的是，這比2021年8月16日的5.34%只有微弱的變化。

　　公司不能快速修補(bǔ)系統(tǒng)的原因有很多。然而，這里需要注意的一點(diǎn)是，網(wǎng)絡(luò)罪犯使用與Trustwave相同的研究技術(shù)，也就是Shodan等互聯(lián)網(wǎng)掃描工具。Trustwave在這次行動中發(fā)現(xiàn)的每一個易受攻擊的例子，犯罪團(tuán)伙也都同樣能夠找到。那些沒有發(fā)生漏洞被利用的公司之所以依然如此，很可能是因?yàn)楣粽咭呀?jīng)挑選了其他目標(biāo)作為首選攻擊目標(biāo)。就是說只是你的運(yùn)氣好一點(diǎn)點(diǎn)而已。

　　Trustwave總結(jié)稱， 攻擊者利用Shodan的遙測技術(shù)來收集易受攻擊的實(shí)例的信息，有時比有道德的黑客還要快。因此，組織必須主動識別漏洞并進(jìn)行修補(bǔ)。研究團(tuán)隊(duì)觀察到，在審查的漏洞中，至少有3個發(fā)現(xiàn)超過50%的可通過Internet訪問的實(shí)例是存在漏洞的。事實(shí)上，這是在補(bǔ)丁發(fā)布幾周甚至幾個月后的情況。另一個關(guān)鍵觀察發(fā)現(xiàn)，互聯(lián)網(wǎng)上的通用支持軟件的壽命結(jié)束的數(shù)量很高。不支持的軟件版本沒有安全補(bǔ)丁，極大地增加了被利用的風(fēng)險。在Internet上仍然可以看到啟用SMBv1和RDP的Windows目標(biāo)，使用已棄用的協(xié)議和遠(yuǎn)程訪問工具為攻擊者提供了容易訪問組織攻擊表面的機(jī)會，突顯了薄弱的安全態(tài)勢。

　　研究人員反復(fù)強(qiáng)調(diào)說：“組織必須主動識別漏洞并進(jìn)行修補(bǔ)?！边@是復(fù)雜的，因?yàn)榻M織并不總是知道他們的IT資產(chǎn)的全部——服務(wù)器被閑置和遺忘（因此未打補(bǔ)?。匀贿B接和可從互聯(lián)網(wǎng)訪問，這不是未知的。類似地，新服務(wù)器在云中流轉(zhuǎn)起來很容易，用于單個任務(wù)（如測試），然后就被拋棄和遺忘，這增加了公司無形的IT資產(chǎn)。這些實(shí)際上未知的系統(tǒng)仍然會被Shodan發(fā)現(xiàn)，并可能被犯罪分子利用，以獲得一個不被發(fā)現(xiàn)的立足點(diǎn)進(jìn)入網(wǎng)絡(luò)。

　　Trustwave說：“擁有最新的資產(chǎn)清單是至關(guān)重要的，特別是通過互聯(lián)網(wǎng)訪問的目標(biāo)?！薄皩﹃P(guān)鍵漏洞的攻擊通常短則不到一天，長則一個月的時間，均可以得手，對于組織來說，使用最新的安全更新持續(xù)監(jiān)控、跟蹤和更新資產(chǎn)是很重要的?！?/p>