設(shè)備是虛擬的，但威脅卻是真實(shí)的，而且已經(jīng)兵臨城下。

對(duì)于軟件(包括網(wǎng)絡(luò)安全)廠商而言，虛擬設(shè)備是一種廉價(jià)且高效的交付方式，很容易分發(fā)和部署在客戶的公共和私有云環(huán)境中。

[[349886]]

但是，根據(jù)Orca Security最新發(fā)布的《2020年虛擬設(shè)備安全報(bào)告》，隨著各行業(yè)數(shù)字化轉(zhuǎn)型加速向云遷移，虛擬設(shè)備安全防護(hù)已經(jīng)脫節(jié)滯后。

該報(bào)告調(diào)查了企業(yè)虛擬設(shè)備安全性方面的主要問(wèn)題，發(fā)現(xiàn)大量已知可利用并且可修復(fù)的漏洞正在快速傳播。

為了幫助云安全行業(yè)提升防護(hù)并降低客戶風(fēng)險(xiǎn)，報(bào)告對(duì)來(lái)自540個(gè)軟件供應(yīng)商的2,218個(gè)虛擬設(shè)備映像進(jìn)行了分析，分析了已知漏洞和其他風(fēng)險(xiǎn)，以提供客觀的評(píng)分和排名。

Orca Security首席執(zhí)行官Avi Shua表示：客戶認(rèn)為虛擬設(shè)備沒(méi)有安全風(fēng)險(xiǎn)，但是我們發(fā)現(xiàn)，漏洞泛濫和操作系統(tǒng)安全現(xiàn)狀是令人不安的。

報(bào)告顯示，企業(yè)在測(cè)試和管理虛擬設(shè)備漏洞方面還存在巨大差距，同時(shí)軟件行業(yè)在保護(hù)其客戶方面也還有很長(zhǎng)的路要走。

已知漏洞泛濫

調(diào)查發(fā)現(xiàn)，大多數(shù)軟件供應(yīng)商都在分發(fā)含有已知漏洞，以及可利用和可修復(fù)的安全漏洞的虛擬設(shè)備。

研究發(fā)現(xiàn)，只有不到8%的虛擬設(shè)備(177)沒(méi)有已知漏洞。在540個(gè)軟件供應(yīng)商的2,218個(gè)虛擬設(shè)備中，總共發(fā)現(xiàn)了401,571個(gè)漏洞。

報(bào)告揭示了17個(gè)關(guān)鍵漏洞，如果虛擬設(shè)備存在此類未修補(bǔ)漏洞，則被認(rèn)為具有嚴(yán)重影響。其中一些知名且易于利用的漏洞包括：

• EternalBlue
• DejaBlue
• BlueKeep
• DirtyCOW
• Heartbleed

如下圖所示，超過(guò)一半的經(jīng)過(guò)測(cè)試的虛擬設(shè)備低于平均等級(jí)，其中56%獲得C或更低的等級(jí)評(píng)分，有15%的虛擬設(shè)備只獲得了F級(jí)評(píng)分(未通過(guò)測(cè)試)。(F為15.1%、D為16.1%、C為25%)。

上述調(diào)查結(jié)果發(fā)布后，對(duì)相關(guān)軟件供應(yīng)商的287個(gè)安全更新進(jìn)行了重新測(cè)試，發(fā)現(xiàn)這些虛擬設(shè)備的平均等級(jí)從B提高到了A。

過(guò)時(shí)的虛擬設(shè)備會(huì)增加風(fēng)險(xiǎn)

隨著時(shí)間的流逝和缺乏更新，多個(gè)虛擬設(shè)備面臨安全風(fēng)險(xiǎn)。研究發(fā)現(xiàn)，大多數(shù)供應(yīng)商并未更新或終止其過(guò)時(shí)或報(bào)廢(EOL)的產(chǎn)品。

研究發(fā)現(xiàn)，在過(guò)去三個(gè)月中，只有14%(312)個(gè)虛擬設(shè)備鏡像文件獲得更新。

同時(shí)，有47%(1,049)在去年沒(méi)有更新;至少有5%(110)的問(wèn)題被忽略了三年，而有11%(243)的版本或EOL操作系統(tǒng)已運(yùn)行。

雖然，一些過(guò)時(shí)的虛擬設(shè)備已在初始測(cè)試后進(jìn)行了更新。例如，Redis Labs的產(chǎn)品由于過(guò)時(shí)的操作系統(tǒng)和許多漏洞而得分為F，但現(xiàn)在更新后得分為A+。

一線希望

根據(jù)協(xié)調(diào)漏洞披露的原則，研究人員直接向每個(gè)供應(yīng)商發(fā)送電子郵件，敦促其解決安全問(wèn)題。幸運(yùn)的是，云安全廠商們的態(tài)度和響應(yīng)速度非常積極。

截至報(bào)告發(fā)布，多家知名廠商已經(jīng)通過(guò)修補(bǔ)或下架虛擬設(shè)備消除了401571個(gè)漏洞中的36259個(gè)。其中的一些關(guān)鍵更正或更新包括：

• Dell EMC針對(duì)其CloudBoost虛擬版發(fā)布了重要的安全公告;
• 思科發(fā)布了針對(duì)15個(gè)安全問(wèn)題的修復(fù)程序，這些安全問(wèn)題是在研究中掃描的其中一個(gè)虛擬設(shè)備中發(fā)現(xiàn)的;
• IBM在一周內(nèi)更新或刪除了三個(gè)虛擬設(shè)備;
• 賽門鐵克下架了三項(xiàng)得分較低的產(chǎn)品;
• Splunk、Oracle、IBM、卡巴斯基實(shí)驗(yàn)室和Cloudflare也下架了產(chǎn)品;
• Zoho更新了一半的最脆弱產(chǎn)品;
• Qualys更新了一個(gè)有26個(gè)月歷史的虛擬設(shè)備，其中包括Qualys本身在2018年發(fā)現(xiàn)并報(bào)告的用戶枚舉漏洞。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文