安全专家：50% 的服务器在补丁发布后，很长时间未修复

根据一项新研究，许多公司在修补高严重性漏洞方面滞后，该研究表明，在安全更新发布数周和数月后，超过 50% 的被扫描服务器的安全状况不佳。

为了创建“2021 Trustwave SpiderLabs 遥测报告”，研究人员使用了 Shodan、公开可用的漏洞利用信息以及对 Internet 上可访问的易受攻击目标的非侵入式分析。他们发现许多服务器没有及时修补，运行不受支持的软件，并在可通过 Web 访问的服务器上使用旧协议和远程访问工具。

研究人员在报告中指出，2020 年报告了大约 18,352 个新的安全漏洞，比 2019 年增加了 6%，比 2016 年增加了 184.66%。今年，截至 9 月 1 日，已报告了大约 13,000 个漏洞——略高于 2020 年此时报告的 12,360 个。其中，20% 被归类为高严重性。

Trustwave SpiderLabs 的高级安全研究经理 Karl Sigler 指出了已披露漏洞数量呈上升趋势的几个原因。他说，首先，越来越多的研究人员正在探索工具和服务，测试他们的防御措施以找到安全漏洞。但是也正在采用大量新技术，所有这些都存在安全缺陷。

“技术的使用方式发生了巨大的转变，”他说。“由于大流行和许多其他因素，有更多面向公众的服务，尤其是在家工作……我认为组织在全球范围内变得越来越不同，在家工作的情况越来越多，并且员工基础，这也将暴露很多服务。”

企业环境也在不断发展。组织变得越来越大，他们使用和提供给员工和客户的系统和服务也变得越来越复杂。

“它不仅仅是一个前端和一个后端数据库——还涉及各种不同的系统，通常还有其他组织：第三方服务、托管服务等等，”Sigler 补充道。

所有这些复杂性都使环境更难以保护，尤其是在披露的漏洞数量不断增加的情况下。在补丁发布数月后，研究人员将注意力集中在少数仍然影响数千台服务器的高严重性缺陷上。

其中包括 Microsoft Exchange Server 漏洞 ProxyShell 和 ProxyToken，它们可能允许未经身份验证的攻击者在端口 443 上的 Exchange Server 上执行任意代码。

Shodan 的方面分析显示 35,943 个服务器仍然容易受到构成 ProxyShell 的缺陷的影响 (CVE-2021-34473 、CVE-2021-31207 和 CVE-2021-34523）。

研究人员指出，美国有超过 10,500 台 Exchange 服务器容易受到 ProxyShell 的攻击。

还有 ProxyLogon 缺陷（CVE-2021-26855、CVE-2021-26858、CVE-2021-26857 和 CVE-2021-27065），这是微软 3 月 2 日发布的公告的主题，当时表示多个零-day 漏洞被一个名为 Hafnium 的组织用于针对 Microsoft Exchange Server 的本地版本。

大约六个月后，研究表明仍有 13,000 个可公开访问的易受攻击的 ProxyLogon Exchange Server 目标基于 Shodan 遥测。

为什么组织不快速修补

Sigler 说，他对 50% 的服务器安全状况不佳的发现并不感到惊讶。他指出，修补很困难，尤其是在资产很容易被遗漏的日益复杂的环境中。组织通常缺乏对其网络资源和资产的适当枚举，并且缺乏对这些资产的持续漏洞测试。

为了说明这一点，他解释了有多少企业在 Trustwave 进行网络扫描时会首先提供他们认为拥有的 IP 地址的硬编码列表。当团队介入并进行适当的清点和盘点时，“我们发现他们所拥有的资产数量可能是他们认为的两倍，”Sigler 说。那些缺失的资产也是补丁缺失的地方。

“他们并没有忽视漏洞；他们不了解情况并任其发展——他们通常根本不了解情况，”他补充道。

服务器蔓延是系统缺失的一个重要部分，虚拟系统也是如此。他指出，有时人们会在虚拟环境中弹出小实例进行测试，而忽略了将它们下架。所有这些不同的部分都会造成“线上的风险”。

研究人员还注意到互联网上有大量系统的生命周期终止和一般支持软件终止。这意味着他们没有可用的自动补丁，也可能没有手动补丁。

通常，他们表示组织设置了它们并忘记了它们，要么是因为员工被解雇，要么是出于其他原因。Sigler 说，其中许多系统仍然暴露在新旧漏洞中，这可能使它们成为“本报告中悬而未决的风险”。

相关推荐

以太坊蜜罐智能合约的魔术戏法
网络安全刑事司法保护白皮书
Browser_UI_Security_技术白皮书
2018上半年中国政企机构网络安全形势分析报告
EDR协同联防架构帮助企业提升安全预防和响应能力
从御建到驭剑_-AI及大数据构建智慧安全
EDR与企业安全落地的实践与思考
AI驱动的网络安全监测运营
基于_EDR_和_MDR_技术在(云)主机安全中的应用
图算法实施之设备评分
如何把握防泄密的“度”？
基于人工智能的新安全技术
新一代云安全和自动化运维
数据与隐私保护风险管理
AI_安全未来人机关系展望___对抗或者共生
安全数据分析中对抗学习的研究与应用
云时代的企业数据安全新体系
白帽子视角看待企业安全
移动企业与数字化工作环境大趋势讲
业务结合大数据的实时阻断
企业信息安全，如何从恨到爱？
宜信企业安全建设经验谈–人才培养之道
58安全应急响应中心背后的故事
从BSRC看互联网企业安全漏洞及威胁趋势
新工科背景下的信息安全竞赛与人才培养
邮件系统抗击黑产技术路线
安全运营中威胁情报的应用
网络安全实践研讨会——大数据营销及数据安全
华泰证券混合云服务体系研究与实践
互联网资产管理与漏洞运营实践&安全产品线
企业安全防护与大数据实践
模板注入与_FLASK
甲方的代码审计系统建设
安全客2018季刊第二季___数字货币钱包抢夺战升级！
跨域资源那些事
如何通过调试获取光猫root权限
自动化代码审计de一些思路与局限——基于静态分析的PHP代码审计技术探
XSS漏洞挖掘与安全防护
小微互联网金融企业应用安全体系建设
从御建到驭剑-_顺丰安全的段位进阶历程
Linux_Android_内核_Heap_Spray_的几种姿势
红日Web安全新手入门专刊
如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞
智能合约消息调用攻防
Java反序列化实战
先知白帽大会-开场演讲
区块链中暗网情报对抗反洗钱模型
网络主权与网络安全
基于移动安全大数据的移动威胁场景下的画像线索应用
“黑产”在做什么数据分析
工业短距离无线通信安全探索与防护研究
IoT-Research_On_Security_Of_Video_Surveillance_System
LEGALITIES_OF_HACKING
人工智能在Web安全领域的应用
从软件开发角度解密_OWASP_TOP_10_应用安全与安全的开发
开发人员应该了解的密码学常识
2018年第一季度我国联网智能设备安全情况报告
为实现成功的网络威胁情报交换构建坚实基础
GDPR与隐私技术
大数据环境下的“隐形隐私”问题探讨
云安全现状年度报告2018
网络安全教育和培训__21世纪的全球视野
The_Top_10_Cybersecurity_Challenges_in_Cloud_Deployments
Data_enabled_AI_infrastructure,scalabilit,privacy,and_security
Defending_Machine_Learning_against_Adversarial_Attacks
构建一个敏捷的网络安全团队来确保云安全
新安全威胁下的战略稳定之道
加强标准与认证认可工作_保障云服务安全
Providing_international_cyber_security：sco_experience
网络安全的前沿途径和_数字现代化的变革
产学研融合，新技术护航
新形势下的内网安全