近期，一份研究報告顯示，攻擊者在新漏洞公開披露后 15 分鐘內，就會掃描到有漏洞的端點，留給系統(tǒng)管理員修補已披露的安全漏洞時間比以往想象的還要少。

根據 Palo Alto 2022 年 Unit 42 事件響應報告，部分黑客一直在監(jiān)視軟件供應商是否會發(fā)布漏洞披露公告，以便可以利用這些漏洞對公司網絡進行初始訪問或遠程代碼執(zhí)行。

2022 年攻擊面管理威脅報告發(fā)現，攻擊者通常是在 CVE 漏洞公布 15 分鐘內開始掃描漏洞。

值得一提的是，由于對掃描漏洞的要求并不高，低技能的攻擊者也可以在互聯(lián)網上掃描易受攻擊的端點，并在暗網市場上出售。之后幾小時內，就會出現第一次主動的利用嘗試，往往會擊中了一些未來得及打補丁的系統(tǒng)。

Unit 42 事件響應報告以 CVE-2022-1388 為例，該漏洞披露于 2022 年 5 月 4 日，根據 Unit 42 的說法，在 CVE 公布后 10 個小時內，他們已經記錄了 2552 次掃描和利用嘗試。

不難看出，修補漏洞是系統(tǒng)維護者和惡意攻擊者之間的時間競賽，每一方的延誤幅度都隨著時間的推移而減少。

2022 年利用最多的漏洞

根據 Palo Alto收集的數據，2022 年上半年，網絡訪問中被利用最多的漏洞是 “ProxyShell ”利用鏈，占總記錄利用事件的 55%。ProxyShell 是通過將 CVE-2021-34473、CVE-2021-34523 和 CVE-2021-31207 鏈接在一起利用。

Log4Shell 排名第二，占總記錄利用事件的 14%，SonicWall 的各種 CVE 占了 7%，ProxyLogon 占 5%，Zoho ManageEngine ADSelfService Plus 的 RCE 在 3% 的案例中被利用。

2022 年上半年利用最多的漏洞(Unit 42)

從這些統(tǒng)計數字可以看出，利用量中絕大部分是由半舊的漏洞而不是最新披露的漏洞。發(fā)生這種情況有多種原因，包括攻擊面的大小、利用的復雜性和實際影響等。

可以觀察到更有價值的和保護得更好的系統(tǒng)，其管理員會迅速應用安全更新，因為這些系統(tǒng)往往會成為漏洞披露后，網絡攻擊的重要目標。

同樣值得注意的是，報告顯示，利用軟件漏洞進行初始網絡破壞的方法約占所用方法的三分之一，在 37% 的情況下，網絡釣魚是實現初始訪問的首選手段。在 15% 的案例中，黑客入侵網絡的方式是暴力破解或使用泄露的憑據。最后，對特權員工使用社工攻擊或賄賂內部人員占了 10% 。

2022 年上半年，攻擊者如何實現初始訪問

目前，系統(tǒng)管理員、網絡管理員和安全專業(yè)人員在努力應對最新的安全威脅和操作系統(tǒng)問題時已經承受了巨大壓力，攻擊者如此快速針對其設備只會增加額外的壓力。因此，如果可能的話，通過使用 VPN 等技術，盡量讓設備遠離互聯(lián)網。

通過限制對服務器的訪問，管理員不僅可以降低漏洞利用的風險，還可以在漏洞成為內部目標之前應用安全更新。

不幸的是，一些服務必須公開，這就要求管理員通過訪問列表盡可能地加強安全，只暴露必要的端口和服務，并盡可能快地應用更新，雖然快速應用關鍵更新可能會導致停機，但這遠比遭受全面網絡攻擊好得多。

參考文章：https://www.bleepingcomputer.com/news/security/hackers-scan-for-vulnerabilities-within-15-minutes-of-disclosure/