2020年美國國家漏洞庫NVD報(bào)告了創(chuàng)紀(jì)錄數(shù)量的新安全漏洞18352個(gè)。今年,，這個(gè)數(shù)字可能會(huì)更高（到9月30日有14792個(gè)）,。零日漏洞的問題在于,，在供應(yīng)商和用戶都打了補(bǔ)丁之前，它仍然是零日漏洞,。

今年有20%的新漏洞被NVD評(píng)為“嚴(yán)重程度高”,。考慮到惡意行為者利用這些漏洞的速度,，Trustwave的研究人員決定調(diào)查并報(bào)告行業(yè)修補(bǔ)漏洞的速度,。研究人員選擇了一系列引人注目的漏洞，并使用Shodan來檢測互聯(lián)網(wǎng)上仍然存在的漏洞實(shí)例,。他們分別在7月22日,、8月16日和8月31日進(jìn)行了搜索，以檢測打補(bǔ)丁的進(jìn)展,。

　　研究人員選擇了今年比較典型且嚴(yán)重的七個(gè)漏洞進(jìn)行分析：

　　1,、MS Exchange Server （ProxyShell和ProxyToken）；

　　2,、Apache Tomcat （HTTP請求走私和QNAP NAS命令注入）,；

　　3、VMware vCenter（多個(gè)漏洞）,；

　　4,、Pulse Connect（認(rèn)證旁路）；

　　5,、F5 BIG-IP （RCE漏洞）,；

　　6,、MS Exchange Server （ProxyLogon）；

　　7,、Oracle WebLogic Server （RCE）,；

　　結(jié)果并不令人有些意外。例如,，微軟在4月和5月修補(bǔ)了ProxyShell和ProxyToken漏洞,，并在7月披露?！敖刂?021年8月31日,，”研究人員說，“Shodan的facet分析報(bào)告證實(shí),，大約有45K個(gè)實(shí)例容易受到ProxyShell的攻擊,。”21.17%的MS Exchange服務(wù)器未打補(bǔ)丁,。

　　搜索顯示,，截止2021.08.31，繪制出微軟Exchange服務(wù)器漏洞分布熱力圖,，美國有超過10500臺(tái)Exchange服務(wù)器易受ProxyShell攻擊（約23%）,，其次是德國約18%，英國約6%,。

　　該模式與其他分析的漏洞相似,。到2021年8月31日，超過一半的Apache Tomcat漏洞仍未修補(bǔ),；超過20%的Pulse Connect實(shí)例未打補(bǔ)丁。F5和MS ProxyLogon漏洞的實(shí)例數(shù)量都下降到了5%左右,，但自2021年7月22日以來,，這兩個(gè)漏洞的實(shí)例數(shù)量都只減少了約2%。

　　VPN漏洞是非常嚴(yán)重的問題,，理應(yīng)受到用戶的高度重視,。2021年4月20日，有報(bào)道稱威脅行為者利用Pulse Connect Secure的零日漏洞,。這是一個(gè)身份驗(yàn)證繞過漏洞,，允許未經(jīng)身份驗(yàn)證的用戶在Pulse Connect安全網(wǎng)關(guān)（CVE-2021-22893）上執(zhí)行遠(yuǎn)程任意文件執(zhí)行。在公告發(fā)布后的2周內(nèi)沒有補(bǔ)丁可用,。Pulse Connect Secure于2021年5月3日發(fā)布補(bǔ)丁,。該漏洞的CVSS v3得分為10.0，這意味著它具有重大的風(fēng)險(xiǎn),。截至2021年8月4日,，Shodan上有6319個(gè)Pulse Connect Secure漏洞,。近29%的易感病例來自美國，其次是法國和日本,，各占9%,。中國也有199個(gè)實(shí)例。

　　Oracle WebLogic的漏洞要復(fù)雜一些,。該軟件在2021年1月被甲骨文公司打了補(bǔ)丁,。然而，到2021年7月22日,，Shodan顯示,，72%的面向互聯(lián)網(wǎng)的WebLogic實(shí)例沒有更新到新版本。但根據(jù)實(shí)際應(yīng)用的可利用性,，這個(gè)數(shù)字在8月底下降到5.6%,。令人擔(dān)憂的是，這比2021年8月16日的5.34%只有微弱的變化,。

　　公司不能快速修補(bǔ)系統(tǒng)的原因有很多,。然而，這里需要注意的一點(diǎn)是,，網(wǎng)絡(luò)罪犯使用與Trustwave相同的研究技術(shù),，也就是Shodan等互聯(lián)網(wǎng)掃描工具。Trustwave在這次行動(dòng)中發(fā)現(xiàn)的每一個(gè)易受攻擊的例子,，犯罪團(tuán)伙也都同樣能夠找到,。那些沒有發(fā)生漏洞被利用的公司之所以依然如此，很可能是因?yàn)楣粽咭呀?jīng)挑選了其他目標(biāo)作為首選攻擊目標(biāo),。就是說只是你的運(yùn)氣好一點(diǎn)點(diǎn)而已,。

　　Trustwave總結(jié)稱， 攻擊者利用Shodan的遙測技術(shù)來收集易受攻擊的實(shí)例的信息,，有時(shí)比有道德的黑客還要快,。因此，組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ),。研究團(tuán)隊(duì)觀察到,，在審查的漏洞中，至少有3個(gè)發(fā)現(xiàn)超過50%的可通過Internet訪問的實(shí)例是存在漏洞的,。事實(shí)上,，這是在補(bǔ)丁發(fā)布幾周甚至幾個(gè)月后的情況。另一個(gè)關(guān)鍵觀察發(fā)現(xiàn),，互聯(lián)網(wǎng)上的通用支持軟件的壽命結(jié)束的數(shù)量很高,。不支持的軟件版本沒有安全補(bǔ)丁，極大地增加了被利用的風(fēng)險(xiǎn)。在Internet上仍然可以看到啟用SMBv1和RDP的Windows目標(biāo),，使用已棄用的協(xié)議和遠(yuǎn)程訪問工具為攻擊者提供了容易訪問組織攻擊表面的機(jī)會(huì),，突顯了薄弱的安全態(tài)勢。

　　研究人員反復(fù)強(qiáng)調(diào)說：“組織必須主動(dòng)識(shí)別漏洞并進(jìn)行修補(bǔ),?！边@是復(fù)雜的，因?yàn)榻M織并不總是知道他們的IT資產(chǎn)的全部——服務(wù)器被閑置和遺忘（因此未打補(bǔ)?。?，但仍然連接和可從互聯(lián)網(wǎng)訪問，這不是未知的,。類似地,，新服務(wù)器在云中流轉(zhuǎn)起來很容易，用于單個(gè)任務(wù)（如測試）,，然后就被拋棄和遺忘,，這增加了公司無形的IT資產(chǎn)。這些實(shí)際上未知的系統(tǒng)仍然會(huì)被Shodan發(fā)現(xiàn),，并可能被犯罪分子利用,，以獲得一個(gè)不被發(fā)現(xiàn)的立足點(diǎn)進(jìn)入網(wǎng)絡(luò)。

　　Trustwave說：“擁有最新的資產(chǎn)清單是至關(guān)重要的,，特別是通過互聯(lián)網(wǎng)訪問的目標(biāo),。”“對(duì)關(guān)鍵漏洞的攻擊通常短則不到一天,，長則一個(gè)月的時(shí)間,，均可以得手，對(duì)于組織來說,，使用最新的安全更新持續(xù)監(jiān)控,、跟蹤和更新資產(chǎn)是很重要的?！?/p>