therecord网站消息,研究人员发现,联邦政府维护的已知被利用漏洞(KEV)目录对联邦政府内外的组织机构产生了实质性的影响。
网络安全和基础设施安全局(CISA)的KEV目录已经运行了近三年,早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。对此,网络安全扫描公司Bitsight的专家提出了一个问题:"与不在KEV目录中的漏洞相比,企业修复KEV的速度是否更快?“
答案明确是“是”。研究人员的数据显示,修补目录中列出的漏洞所需的时间中位数是非KEV漏洞的3.5倍。换句话说,KEV所列漏洞的修复时间中位数为174天,而非KEV所列漏洞的修复时间为621天。这些数据来自Bitsight对100多万个实体(包括公司、学校、地方政府等)进行漏洞扫描的结果。
Bitsight表示,如果计算相对平均降低值,勒索软件KEV的修复速度(平均)是未知用于勒索软件的KEV的2.5倍。
该公司证实,KEV列表通过帮助公司和地方政府从大量漏洞中筛选出真正重要的漏洞产生了实际效果。2023 年,在Bitsight观察到的所有组织中,有35%的组织处理过KEV,其中绝大多数的组织有一个以上的KEV。
漏洞修复时间
每个添加到KEV列表中的漏洞都附带一个截止日期,该日期根据漏洞的严重程度和被定位的紧急性而有所不同。这个截止日期正式适用于联邦机构,但对于美国政府之外的组织,它可以作为漏洞严重程度的一个指南。
Bitsight发现,受CISA约束性指令监管的联邦民事机构比其他组织更有可能在截止日期前解决KEV漏洞,概率高出63%。而大约40%的组织(即那些不必遵守CISA规定的联邦政府以外的组织)能够在CISA的截止日期前解决漏洞。
报告指出,从KEV列表创建至今,给予漏洞修补的截止日期发生了巨大变化。当该列表首次创建时,CISA通常给联邦民事机构一周、两周或六个月的时间来修补漏洞。但到2022年春季,他们将截止日期调整为三周。直到最近几个月,才重新规定了一周的期限。
为什么会发生这种变化?早期的这些漏洞通常在添加到KEV目录时就已经存在了,考虑到这种情况,CISA给组织时间解决问题似乎是合理的。
截止日期似乎受漏洞是否被勒索软件使用的影响:一周内需要解决的漏洞比其他漏洞更容易被用于勒索软件,因为这些漏洞非常紧急,如果黑客在组织机构系统上利用它们,可能会造成重大损失。
科技公司是最快解决漏洞的公司之一,部分原因是因为它们在Bitsight列出的暴露漏洞最多的行业中名列榜首。在Bitsight追踪的行业中,教育机构和地方政府的情况最为糟糕,这两个行业受KEV列表漏洞影响较大,修复时间较慢。
保险公司、信用社和工程公司受KEV列表漏洞影响的程度相对较低,通常修复问题的速度也较快。
列表上的新漏洞
上周,CISA在KEV列表中增加了两个漏洞。其中被命名为CVE-2024-29988的漏洞是微软在四月份发布的 “补丁星期二”(Patch Tuesday)中公布的,该漏洞会影响微软产品中包含的云端反钓鱼和反恶意软件组件SmartScreen。
Immersive Labs的首席网络安全工程师本·麦卡锡(Ben McCarthy)表示,SmartScreen是一个大型弹出窗口,会警告用户有关运行未知文件的情况,通常是网络钓鱼攻击的终端,因为它会吓唬用户,让他们不敢继续打开文件。
他补充说,该漏洞在使用文件下载作为获取初始访问权限的攻击技术的攻击者中很流行,因为他们想找到绕过SmartScreen等安全功能的方法。
CISA指出,在攻击过程中,该漏洞可以与CVE-2024-21412链接。一位发现CVE-2024-21412和CVE-2024-29988漏洞的零日计划研究人员表示,通过直接手段(电子邮件和直接消息)进行的社会工程攻击需要某种用户交互,这是这类漏洞典型的利用途径。
CVE-2024-21412被用作DarkGate活动的一部分,该活动利用假冒苹果iTunes、Notion、英伟达(NVIDIA)等公司的虚假软件安装程序。Microsoft Defender SmartScreen本应为终端用户提供额外保护,防止网络钓鱼和恶意网站,但由于这些漏洞绕过了安全功能,导致终端用户感染恶意软件。
上个月,《Bleeping Computer》报道称,一个出于经济动机的黑客组织利用该漏洞攻击了外汇交易论坛和股票交易Telegram频道。