2020年美國國家漏洞庫NVD報告了創(chuàng)紀錄數量的新安全漏洞18352個。今年，這個數字可能會更高（到9月30日有14792個）。零日漏洞的問題在于，在供應商和用戶都打了補丁之前，它仍然是零日漏洞。

今年有20%的新漏洞被NVD評為“嚴重程度高”。考慮到惡意行為者利用這些漏洞的速度，Trustwave的研究人員決定調查并報告行業(yè)修補漏洞的速度。研究人員選擇了一系列引人注目的漏洞，并使用Shodan來檢測互聯網上仍然存在的漏洞實例。他們分別在7月22日、8月16日和8月31日進行了搜索，以檢測打補丁的進展。

　　研究人員選擇了今年比較典型且嚴重的七個漏洞進行分析：

　　1、MS Exchange Server （ProxyShell和ProxyToken）；

　　2、Apache Tomcat （HTTP請求走私和QNAP NAS命令注入）；

　　3、VMware vCenter（多個漏洞）；

　　4、Pulse Connect（認證旁路）；

　　5、F5 BIG-IP （RCE漏洞）；

　　6、MS Exchange Server （ProxyLogon）；

　　7、Oracle WebLogic Server （RCE）；

　　結果并不令人有些意外。例如，微軟在4月和5月修補了ProxyShell和ProxyToken漏洞，并在7月披露?！敖刂?021年8月31日，”研究人員說，“Shodan的facet分析報告證實，大約有45K個實例容易受到ProxyShell的攻擊?！?1.17%的MS Exchange服務器未打補丁。

　　搜索顯示，截止2021.08.31，繪制出微軟Exchange服務器漏洞分布熱力圖，美國有超過10500臺Exchange服務器易受ProxyShell攻擊（約23%），其次是德國約18%，英國約6%。

　　該模式與其他分析的漏洞相似。到2021年8月31日，超過一半的Apache Tomcat漏洞仍未修補；超過20%的Pulse Connect實例未打補丁。F5和MS ProxyLogon漏洞的實例數量都下降到了5%左右，但自2021年7月22日以來，這兩個漏洞的實例數量都只減少了約2%。

　　VPN漏洞是非常嚴重的問題，理應受到用戶的高度重視。2021年4月20日，有報道稱威脅行為者利用Pulse Connect Secure的零日漏洞。這是一個身份驗證繞過漏洞，允許未經身份驗證的用戶在Pulse Connect安全網關（CVE-2021-22893）上執(zhí)行遠程任意文件執(zhí)行。在公告發(fā)布后的2周內沒有補丁可用。Pulse Connect Secure于2021年5月3日發(fā)布補丁。該漏洞的CVSS v3得分為10.0，這意味著它具有重大的風險。截至2021年8月4日，Shodan上有6319個Pulse Connect Secure漏洞。近29%的易感病例來自美國，其次是法國和日本，各占9%。中國也有199個實例。

　　Oracle WebLogic的漏洞要復雜一些。該軟件在2021年1月被甲骨文公司打了補丁。然而，到2021年7月22日，Shodan顯示，72%的面向互聯網的WebLogic實例沒有更新到新版本。但根據實際應用的可利用性，這個數字在8月底下降到5.6%。令人擔憂的是，這比2021年8月16日的5.34%只有微弱的變化。

　　公司不能快速修補系統(tǒng)的原因有很多。然而，這里需要注意的一點是，網絡罪犯使用與Trustwave相同的研究技術，也就是Shodan等互聯網掃描工具。Trustwave在這次行動中發(fā)現的每一個易受攻擊的例子，犯罪團伙也都同樣能夠找到。那些沒有發(fā)生漏洞被利用的公司之所以依然如此，很可能是因為攻擊者已經挑選了其他目標作為首選攻擊目標。就是說只是你的運氣好一點點而已。

　　Trustwave總結稱， 攻擊者利用Shodan的遙測技術來收集易受攻擊的實例的信息，有時比有道德的黑客還要快。因此，組織必須主動識別漏洞并進行修補。研究團隊觀察到，在審查的漏洞中，至少有3個發(fā)現超過50%的可通過Internet訪問的實例是存在漏洞的。事實上，這是在補丁發(fā)布幾周甚至幾個月后的情況。另一個關鍵觀察發(fā)現，互聯網上的通用支持軟件的壽命結束的數量很高。不支持的軟件版本沒有安全補丁，極大地增加了被利用的風險。在Internet上仍然可以看到啟用SMBv1和RDP的Windows目標，使用已棄用的協議和遠程訪問工具為攻擊者提供了容易訪問組織攻擊表面的機會，突顯了薄弱的安全態(tài)勢。

　　研究人員反復強調說：“組織必須主動識別漏洞并進行修補?！边@是復雜的，因為組織并不總是知道他們的IT資產的全部——服務器被閑置和遺忘（因此未打補?。?，但仍然連接和可從互聯網訪問，這不是未知的。類似地，新服務器在云中流轉起來很容易，用于單個任務（如測試），然后就被拋棄和遺忘，這增加了公司無形的IT資產。這些實際上未知的系統(tǒng)仍然會被Shodan發(fā)現，并可能被犯罪分子利用，以獲得一個不被發(fā)現的立足點進入網絡。

　　Trustwave說：“擁有最新的資產清單是至關重要的，特別是通過互聯網訪問的目標?！薄皩﹃P鍵漏洞的攻擊通常短則不到一天，長則一個月的時間，均可以得手，對于組織來說，使用最新的安全更新持續(xù)監(jiān)控、跟蹤和更新資產是很重要的?！?/p>