3.5倍!組織修補CISA KEV列表中的漏洞比其他漏洞要快
therecord網(wǎng)站消息,研究人員發(fā)現(xiàn),聯(lián)邦政府維護(hù)的已知被利用漏洞(KEV)目錄對聯(lián)邦政府內(nèi)外的組織機構(gòu)產(chǎn)生了實質(zhì)性的影響。
網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的KEV目錄已經(jīng)運行了近三年,早已迅速成為全球黑客積極利用的軟件和硬件漏洞的首選存儲庫。對此,網(wǎng)絡(luò)安全掃描公司Bitsight的專家提出了一個問題:"與不在KEV目錄中的漏洞相比,企業(yè)修復(fù)KEV的速度是否更快?“
答案明確是“是”。研究人員的數(shù)據(jù)顯示,修補目錄中列出的漏洞所需的時間中位數(shù)是非KEV漏洞的3.5倍。換句話說,KEV所列漏洞的修復(fù)時間中位數(shù)為174天,而非KEV所列漏洞的修復(fù)時間為621天。這些數(shù)據(jù)來自Bitsight對100多萬個實體(包括公司、學(xué)校、地方政府等)進(jìn)行漏洞掃描的結(jié)果。
Bitsight表示,如果計算相對平均降低值,勒索軟件KEV的修復(fù)速度(平均)是未知用于勒索軟件的KEV的2.5倍。
該公司證實,KEV列表通過幫助公司和地方政府從大量漏洞中篩選出真正重要的漏洞產(chǎn)生了實際效果。2023 年,在Bitsight觀察到的所有組織中,有35%的組織處理過KEV,其中絕大多數(shù)的組織有一個以上的KEV。
漏洞修復(fù)時間
每個添加到KEV列表中的漏洞都附帶一個截止日期,該日期根據(jù)漏洞的嚴(yán)重程度和被定位的緊急性而有所不同。這個截止日期正式適用于聯(lián)邦機構(gòu),但對于美國政府之外的組織,它可以作為漏洞嚴(yán)重程度的一個指南。
Bitsight發(fā)現(xiàn),受CISA約束性指令監(jiān)管的聯(lián)邦民事機構(gòu)比其他組織更有可能在截止日期前解決KEV漏洞,概率高出63%。而大約40%的組織(即那些不必遵守CISA規(guī)定的聯(lián)邦政府以外的組織)能夠在CISA的截止日期前解決漏洞。
報告指出,從KEV列表創(chuàng)建至今,給予漏洞修補的截止日期發(fā)生了巨大變化。當(dāng)該列表首次創(chuàng)建時,CISA通常給聯(lián)邦民事機構(gòu)一周、兩周或六個月的時間來修補漏洞。但到2022年春季,他們將截止日期調(diào)整為三周。直到最近幾個月,才重新規(guī)定了一周的期限。
為什么會發(fā)生這種變化?早期的這些漏洞通常在添加到KEV目錄時就已經(jīng)存在了,考慮到這種情況,CISA給組織時間解決問題似乎是合理的。
截止日期似乎受漏洞是否被勒索軟件使用的影響:一周內(nèi)需要解決的漏洞比其他漏洞更容易被用于勒索軟件,因為這些漏洞非常緊急,如果黑客在組織機構(gòu)系統(tǒng)上利用它們,可能會造成重大損失。
科技公司是最快解決漏洞的公司之一,部分原因是因為它們在Bitsight列出的暴露漏洞最多的行業(yè)中名列榜首。在Bitsight追蹤的行業(yè)中,教育機構(gòu)和地方政府的情況最為糟糕,這兩個行業(yè)受KEV列表漏洞影響較大,修復(fù)時間較慢。
保險公司、信用社和工程公司受KEV列表漏洞影響的程度相對較低,通常修復(fù)問題的速度也較快。
列表上的新漏洞
上周,CISA在KEV列表中增加了兩個漏洞。其中被命名為CVE-2024-29988的漏洞是微軟在四月份發(fā)布的 “補丁星期二”(Patch Tuesday)中公布的,該漏洞會影響微軟產(chǎn)品中包含的云端反釣魚和反惡意軟件組件SmartScreen。
Immersive Labs的首席網(wǎng)絡(luò)安全工程師本·麥卡錫(Ben McCarthy)表示,SmartScreen是一個大型彈出窗口,會警告用戶有關(guān)運行未知文件的情況,通常是網(wǎng)絡(luò)釣魚攻擊的終端,因為它會嚇唬用戶,讓他們不敢繼續(xù)打開文件。
他補充說,該漏洞在使用文件下載作為獲取初始訪問權(quán)限的攻擊技術(shù)的攻擊者中很流行,因為他們想找到繞過SmartScreen等安全功能的方法。
CISA指出,在攻擊過程中,該漏洞可以與CVE-2024-21412鏈接。一位發(fā)現(xiàn)CVE-2024-21412和CVE-2024-29988漏洞的零日計劃研究人員表示,通過直接手段(電子郵件和直接消息)進(jìn)行的社會工程攻擊需要某種用戶交互,這是這類漏洞典型的利用途徑。
CVE-2024-21412被用作DarkGate活動的一部分,該活動利用假冒蘋果iTunes、Notion、英偉達(dá)(NVIDIA)等公司的虛假軟件安裝程序。Microsoft Defender SmartScreen本應(yīng)為終端用戶提供額外保護(hù),防止網(wǎng)絡(luò)釣魚和惡意網(wǎng)站,但由于這些漏洞繞過了安全功能,導(dǎo)致終端用戶感染惡意軟件。
上個月,《Bleeping Computer》報道稱,一個出于經(jīng)濟動機的黑客組織利用該漏洞攻擊了外匯交易論壇和股票交易Telegram頻道。
