根據Tenable最新研究顯示，在過去五年中，已披露漏洞的數量增加183%。

周四發(fā)布的《2020年威脅態(tài)勢回顧》概述了2020年披露或利用的主要漏洞，以及影響這一年的趨勢，包括漏洞和勒索軟件攻擊。該報告由Tenable的安全響應團隊的三名成員編寫，這包括研究工程經理Scott Caveza、研究工程師Satnam Narang和研究工程師Rody Quinlan，其中包括截至2020年12月31日的數據和披露。

[[376438]]

這些研究人員發(fā)現(xiàn)有關CVE的令人擔憂的數據，這些CVE數量很多且沒有被修復。在2020年，總共發(fā)現(xiàn)18,358個新的CVE。根據該報告，從2015年到2020年，報告的CVE數量以36.6%的年均增長率增長。

該報告稱：“2020年報告18,358個CVE，而2019年報告17,305個，增加6%，比2015年報告的6,487個增加183%。在過去三年中，我們每年報告的CVE超過16,000個，這一事實反映漏洞披露的新常態(tài)。”

報告稱，未修補的漏洞比零時漏洞要嚴重得多。研究人員在報告中寫道：“這種容易利用的漏洞受到民族國家行為者和普通的網絡罪犯的青睞。雖然零日漏洞通常被用于有針對性攻擊，但攻擊者通常會利用未修補的漏洞，這構成更大的威脅。”

Narang告訴SearchSecurity，現(xiàn)在攻擊者會利用現(xiàn)有概念驗證(PoC)代碼發(fā)現(xiàn)已披露的漏洞，并將其整合到其攻擊中，而不是試圖發(fā)現(xiàn)和開發(fā)零日漏洞。

他表示：“我們都知道，零日漏洞對攻擊者非常有價值，但是開發(fā)零日漏洞以及花費時間和精力自行開發(fā)相關的成本過高，攻擊者更愿意選擇公開PoC的所有這些未修復的系統(tǒng)。”

但公共PoC的可用性是決定修復和緊急程度的重要因素，盡管很多安全團隊僅依賴于通用漏洞評分系統(tǒng)(CVSS)。該系統(tǒng)評分為1到10，其中10分是最關鍵。CVE具有CVSS分數，以及名稱和標記。但是，根據該報告，一些嚴重但無名的漏洞被備受矚目的漏洞所掩蓋。

該報告稱：“熱門漏洞往往會引起媒體和企業(yè)領導者最多關注，這給安全專業(yè)人員的響應帶來壓力，即使對企業(yè)的威脅很小。我們對2020年備受關注的漏洞的研究顯示，并非每個關鍵漏洞都具有名稱和標記。相反，并非每個帶有名稱和標記的漏洞都應被視為至關重要。”

Narang說，盡管在某些情況下CVSS會提供幫助，并提供背景信息和輕松引用漏洞的方式，但我們應該深入了解更多漏洞細節(jié)信息，而不只是名稱和標記。

他說：“每當你看到CVSS 10時，你會肯定地知道，這是‘我需要放棄正在做的事情，并盡快加以處理的漏洞。’但是并不是每個值得注意的漏洞都需要引起同等重視。我們想舉的例子是‘Boothole’，這是帶有標記和名稱的漏洞，它影響著Linux和Windows設備，可繞過安全啟動。這是一個有趣的漏洞，但是從總體上看，這恐怕不是最緊急的漏洞。”

同時，有些關鍵漏洞卻受到較少關注。例如，Narang指出Oracle Web Logic漏洞，這些漏洞通常作為Oracle關鍵補丁更新的一部分每季度發(fā)布一次。“這些漏洞的確被利用，有時是作為零日漏洞，有時是在研究人員發(fā)布PoC后。這些漏洞沒有名字，但實際上也很嚴重。”

新常態(tài)

正如該報告所顯示，漏洞披露正在迅速增加，Tenable研究人員將其稱為“新常態(tài)”。大量新漏洞的涌現(xiàn)可能是由于更多研究人員、漏洞獵人和企業(yè)在漏洞賞金上花錢。

Narang說：“我認為這是主要因素，漏洞賞金計劃以及激勵研究人員發(fā)現(xiàn)和披露漏洞發(fā)揮了重要作用，這里面參與的人越來越多，基本上都在尋找漏洞。”

在Tenable的研究中，漏洞的增加并不是唯一需要關注的趨勢。截至10月30日，在該年度，該報告共確定730起公共數據泄露事件和220億條暴露記錄。此外，超過35%的零日漏洞是基于瀏覽器，并且發(fā)現(xiàn)18個勒索軟件團伙在運行泄漏站點。

研究人員在報告中寫道：“勒索軟件仍然是當今企業(yè)面臨的最大威脅。對于勒索軟件而言，勒索是關鍵：勒索軟件仍然是最具破壞性的全球網絡威脅。”

勒索軟件攻擊加劇未修補漏洞和數據泄露。

未修補漏洞使敏感數據和系統(tǒng)遭暴露，“為勒索軟件攻擊者提供絕佳機會”。該報告發(fā)現(xiàn)，超過35%的數據泄露事故與勒索軟件攻擊有關，“這通常導致巨大的財務損失”。

2019年的漏洞仍然在發(fā)揮作用

2020年充斥著攻擊、數據泄露事故和安全事件，同時遠程辦公人員增加等，但讓Tenable擔憂的是2019年發(fā)現(xiàn)的漏洞仍然在發(fā)揮作用-特別是虛擬專用網漏洞。

Narang說：“在2020年的所有18,000個漏洞中，如果你查看2020年的前五個漏洞，其中三個來自2019年，2019年的這三個漏洞是你需要重點關注的漏洞，這是因為它們仍然構成問題。”

這包括CVE-2018-13379：Fortinet FortiOS SSL虛擬專用網 Web Portal Information，CVE-2019-11510：Arbitrary File Disclosure in Pulse Connect Secure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC) and Gateway。針對這些漏洞的修復程序已于2019年發(fā)布。 “

這些漏洞正在被非常有決心的國家行為者利用。我想特別強調修復這些漏洞的重要性，因為這是通向你網絡的網關，對我們所有人來說，這都非常重要。”

對于整體漏洞披露，在2021年的第一個月，這種情況似乎沒有改善。Tenable研究人員在周二的博客文章中指出，在2021年的第一個補丁周二中，微軟修復83個CVE，其中10個被評為關鍵。

該博客文章說：“與2020年1月相比，修補的CVE數量增加了69%。”