需要查找和修复的重要漏洞,保护远程办公人员
在当前充满不确定性的时代背景下,转变工作方式、识别在外部环境中受利用的重要缺陷、确定其优先级并予以解决尤为重要。
我们近期就全球应对新冠肺炎疫情的举措如何扩大了企业的攻击面这一话题分享了一些见解。这些观点来自于我们自主开展的研究和公开情报,为企业在员工队伍不断发生变化的背景下,最需要应对的一些关键领域提供了一份参考。
每年被发现的漏洞数量可达数以万计,因此深入研究其中风险最高的问题才是关键所在。
CVSS 状态
通用漏洞评分系统 (CVSS) 是一套行业标准体系,用于就漏洞范围和严重程度提供有价值的洞见。通常在生成 CVE 时进行定义 CVSS 得分。但该得分往往需要很长一段时间才能反映出漏洞影响的变化。
例如,Pulse Connect Secure 安全套接字协议 (SSL) 虚拟专用网络 (VPN) 中存在一个漏洞,识别号为 CVE-2019-11510,该漏洞最初于 2019 年 5 月 9 日被赋予的 CVSS 得分为 8.8 分,使得该缺陷被归类为高严重程度的漏洞。尽管该漏洞可用性的概念证明于 2019 年 8 月 21 日就已完成,但直到一个月后的 2019 年 9 月 20 日,其 CVSS 得分才进行了更新,以反映出漏洞的重要性质。
类似地,FortiGuard SSL VPN 中存在一个漏洞,识别号为 CVE-2018-13379,最初于 2019 年 6 月 5 日得到的 CVSS 得分为 7.5 分。其 CVSS 得分直到 2019 年 9 月 19 日才进行了更新,此时距 8 月 9 日有关该缺陷的研究公开及 8 月 22 日在外部环境中与 CVE-2019-11510 一起发现了该漏洞的外部尝试已经过去了一个月的时间。
CVSS 得分是衡量漏洞严重程度的有效指标,不应被忽视,但单纯依靠该得分来确定漏洞修复优先级有时可能会出现问题。
优先修补这些漏洞
通过 Tenable 的预测优先级分析,漏洞会被赋予 Vulnerability Priority Rating (VPR),其中既考虑到了 CVSS 中的因素,也利用机器学习算法结合威胁情报来确定漏洞优先级。为了有助于保护不断扩大的攻击面,我们在以下列表中列出了我们团队和大数据团队识别出的企业最亟需修补的漏洞及其 VPR。
促进远程办公
企业所使用的 Pulse Connect Secure、FortiGate、GlobalProtect 和 Citrix Application Delivery Controller 和 Gateway 等 SSL VPN 软件为安全访问公司网络提供了一层保障。然而这些应用程序也无法避免漏洞蚕食,并且在外部环境中已受到威胁制造者的利用。因此,确保这些漏洞得到相应的修补是这些使用 SSL VPN 亟待解决的问题。
此外,远程桌面服务可以使个人以虚拟方式连接到公司环境中的计算机,使用体验与现场办公无异。CVE-2019-0708 是远程桌面服务中的一个远程代码执行漏洞,又称为 “BlueKeep”,因其有可能催生出下一轮“WannaCry”攻击而受到了广泛关注。尽管此类攻击尚未有过成功案例,但确实有报道称,其数月后在外部环境中受到利用。无论如何,对远程桌面内部及本身进行漏洞利用企图定期监控,并识别暴露出的 RDP 目标应是企业分内之事。
CVE | 产品 | CVSS v3.x | VPR* | 威胁强度 |
---|---|---|---|---|
CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | 非常高 |
CVE-2018-13379 | FortiGate SSL VPN | 9.8 | 9.6 | 非常高 |
CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | 高 |
CVE-2019-19781 | Citrix Application Delivery Controller 和 Gateway | 9.8 | 9.9 | 非常高 |
CVE-2019-0708 | 远程桌面服务 | 9.8 | 9.9 | 非常高 |
*请注意,Tenable VPR 评分每晚进行计算。本篇博文发表于 4 月 13 日,相关数据仅代表当时的 VPR。
恶意电子邮件和漏洞利用工具中用到的漏洞
随着网络罪犯把握住了社会对新冠肺炎疫情的恐惧,CVE-2017-11882 成为了恶意文档中最常受到利用的漏洞之一,该漏洞属于 Microsoft Office 公式编辑器组件中的一个堆栈溢出漏洞。多年以来,该漏洞始终是恶意电子邮件活动中的常客,也并将继续成为威胁制造者攻击手段中常用的工具之一。
威胁制造者惯用的另一大工具漏洞利用工具,此类软件由网络犯罪分子设计,旨在识别受害者机器上是否存在常用的软件应用程序,并选择最合适的漏洞加以利用。尽管 Adobe Flash Player 中的 CVE-2018-15982 和 CVE-2018-4878 等漏洞已成为多个漏洞利用工具中的重要漏洞,但随着 Adobe Flash Player 即将停止更新并向 HTML5 转变,迫使一些漏洞利用工具完全放弃 Flash Player 漏洞,转而寻找其他可利用的漏洞。CVE-2018-8174 就是这样一个漏洞,该漏洞是 VBScript 引擎中的一个释放后使用漏洞,因其能够破坏两个内存对象,又被研究人员称为“Double Kill”,在漏洞利用工具中广受追捧。
CVE | 产品 | CVSS v3.x | VPR* | 威胁强度 |
---|---|---|---|---|
CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | 非常高 |
CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | 非常高 |
CVE-2018-8174 | Internet Explorer(VBScript 引擎) | 7.5 | 9.9 | 非常高 |
CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | 非常高 |
CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | 非常高 |
*请注意,Tenable VPR 评分每晚进行计算。本篇博文发表于 4 月 13 日,相关数据仅代表当时的 VPR 评分。
在外部环境中遭到利用的其他漏洞
对于使用 Cisco 自适应安全设备 (ASA) 和 Firepower 威胁防护 (FTD) 软件某些版本的企业而言,务必要修补 CVE-2018-0296,该漏洞是此类设备中 Web 界面的一个拒绝服务缺陷,会导致意外重新加载。Cisco 警告称,有部分存在漏洞的 ASA 版本不会重新加载,但未经身份验证的攻击者可能会查看到设备上的敏感系统信息。2019 年末,有报道称针对该漏洞的利用企图呈现大幅上升趋势。
此外还有 CVE-2019-0604,该漏洞是 Microsoft SharePoint(一款常用文档存储和管理类协作平台)中的一个不当输入验证漏洞,自 2019 年 5 月以来在外部环境中已受到广泛利用。该缺陷最初的 CVSSv3 评分为 7.8 分。2019 年 6 月修订为 8.8 分,2019 年 12 月再次更新为 9.8 分。如果企业正使用 Microsoft SharePoint,则务必修补此缺陷。
CVE | 产品 | CVSSv3.x | VPR* | 威胁强度 |
---|---|---|---|---|
CVE-2018-0296 | Cisco ASA 和 Firepower | 7.5 | 8.8 | 非常低 |
CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | 低 |
*请注意,Tenable VPR 评分每晚进行计算。本篇博文发表于 4 月 13 日,相关数据仅代表当时的 VPR 评分。
在动荡不安的局势下砥砺前行
在当前充满不确定性的背景之下,随着工作方式的不断变化,企业更需要了解攻击面的转移情况以及如何做到严阵以待。知识就是力量,既代表着通过掌握环境中的资产来了解风险,也代表着做出风险型决策的深入洞见。在企业内实施基于风险的漏洞管理计划有助于在未知的局势中掌握正确方向。
识别受影响的系统
用于识别上述漏洞的 Tenable 插件清单请查看此处。
获取更多信息
加入 Tenable Community 中的 Tenable 安全响应团队
了解有关 Tenable 这款首创 Cyber Exposure 平台的更多信息,全面管理现代攻击面。
获取 30 天免费试用版 Tenable.io Vulnerability Management。
相关文章
- Remote Workforce
- Vulnerability Management