边缘服务 KEV 漏洞趋势
在已知被利用的漏洞目录(KEV)中,64%的所有边缘服务和基础设施常见漏洞和暴露(CVEs)位于EPSS(基于漏洞利用可能性的评分)得分的97.5百分位以上,而在KEV中,只有23%的其他CVEs位于97.5百分位以上。
此外,过去两年中添加到KEV的边缘服务和基础设施CVEs的严重性平均比其他CVEs高11%。
2024年,每月添加到KEV的边缘服务和基础设施CVEs数量比2023年高出22%,而每月添加到KEV的其他CVEs数量比2023年下降了56%。
几份最新报告显示,大规模漏洞利用可能已经超过僵尸网络成为勒索软件事件的主要向量。
最近一系列的安全事件是由如MOVEit、CitrixBleed、Cisco XE、Fortiguard的FortiOS、Ivanti ConnectSecure、Palo Alto的PAN-OS、Juniper的Junos和ConnectWise ScreenConnect等漏洞软件的大规模漏洞利用引起的。
边缘服务对攻击者极具吸引力,这些服务暴露在互联网中,旨在为远程用户提供关键服务,因此容易被远程攻击者滥用。
基础设施设备对攻击者同样具有吸引力
类似地,基础设施设备对攻击者具有吸引力,因为它们是黑盒,网络管理员无法轻易检查或监控,且没有安装EDR软件。网络管理员难以验证其安全性,通常只能信任这些设备。此外,这些设备中的某些类型也提供边缘服务,因此可以通过互联网访问。
“WithSecure Intelligence的高级威胁分析师Stephen Robinson表示:“大规模漏洞利用事件发生只需要一件事,那就是一个脆弱的边缘服务,一个可以从互联网访问的软件。”
“许多被利用的边缘服务的共同点在于它们是基础设施设备,例如防火墙、VPN网关或电子邮件网关,这些设备通常是黑盒设备。此类设备通常旨在使网络更安全,但一次又一次地在这些设备中发现了漏洞并被攻击者利用,为目标网络提供了一个完美的立足点。”Robinson补充道。
研究发现,大规模漏洞利用是观察到的勒索软件和国家间间谍攻击的主要攻击向量。此外,经济动机的网络犯罪分子比以往更容易获得利用零日和一日漏洞的能力和专业知识。
“由于存在大量脆弱的边缘服务,或者由于大规模漏洞利用的普遍性,使得攻击者和防御者现在更加了解这些脆弱的边缘服务,可能导致大规模漏洞利用成为主要的攻击向量。”Robinson总结道。
