為了保護遠端人力,企業必須找出並修復的重大弱點
由於這動盪不安的時期已導致我們的工作方式發生巨大變化,找出遭到猖獗利用的重大缺陷,排定優先順序並加以解決,此舉更顯重要。
我們近來發佈了一些分析報告,說明全球因應新冠病毒疫情而實施的措施,如何擴大了企業的攻擊破綻。這些分析報告是以我們自己所做的研究和開放原始碼情報為依據,從報告中可一窺而知,由於人力配置的變遷,企業必須解決一些關鍵層面的問題。
雖然每年都會發現成千上萬的弱點,但著重於某些最高風險的問題才是王道。
CVSS 的現況
Common Vulnerability Scoring System (CVSS) 是業界的標準系統,可用於提供弱點範圍及嚴重性的寶貴分析與精闢見解。CVSS 評分通常在 CVE 產生時即已確定。不過,此評分不見得能代表某個弱點影響程度的變化,其影響程度要經過一段時間才能呈現出來。
例如,2019 年 5 月 9 日在 Pulse Connect Secure Secure Socket Layer (SSL) Virtual Private Network (VPN) 中發現的弱點 CVE-2019-11510,一開始為其指定的 CVSS 評分是 8.8,後來造成具有高度嚴重性的缺陷。然而,即使在 2019 年 8 月 21 日公佈了此弱點的概念驗證,其 CVSS 評分並未立即更新,無法反映這個缺陷的嚴重性,直到一個月後的 2019 年 9 月 20 日才更新。
另一個類似的情況是 2019 年 6 月 5 日在 FortiGuard SSL VPN 中發現的弱點 CVE-2018-13379,一開始時的 CVSS 評分是 7.5。但它的 CVSS 評分一直到 2019 年 9 月 19 日才更新,距離此缺陷相關研究公佈 (8 月 9 日) 以及外界試圖找出此遭到猖獗利用的弱點與 CVE-2019-11510 弱點 (8 月 22 日),已時隔一個月之久。
CVSS 評分是弱點嚴重性的實用指標,不容忽視,但將其視為排定弱點修復優先順序的唯一指標有時可能也不妥。
排定修補弱點的優先順序
透過 Tenable 的 Predictive Prioritization 可定出弱點優先順序評分 (VPR),此評分不僅是 CVSS 的要素,還充分運用機器學習演算法並搭配威脅情報來排定弱點的優先順序。為了防護日益擴大的攻擊破綻,我們提供下列弱點清單以供參考,清單中的弱點是我們團隊以及資料科學團隊視為對企業影響最大、須配合其 VPR 進行修補的弱點。
協助遠端工作更便捷流暢
企業使用 Pulse Connect Secure、FortiGate、GlobalProtect 與 Citrix 應用程式傳遞控制程式與閘道等 SSL VPN 軟體,使員工能安全地存取公司網路。這些應用程式中已發現了若干弱點,這些弱點受到威脅執行者的猖獗利用。因此,對於企業而言,使用任何的 SSL VPN 來確保弱點已經過妥善修補愈形重要。
遠端桌面服務也使個人能以虛擬方式與公司內部環境的機器連線,宛如就在系統前面一般。CVE-2019-0708 (稱為「BlueKeep」) 是存在於遠端桌面服務中的遠端程式碼執行弱點,也是另一個廣受矚目的缺陷,因為它可能成為下一波「WannaCry」攻擊的前哨站。雖然這類攻擊從未開花結果,但研究報告顯示它在幾個月後受到猖獗地利用。不過,遠端桌面本質上就是企業應該長期監控是否有遭攻擊者侵入之虞以及辨識 RDP 目標是否曝顯的方向。
CVE | 產品 | CVSS v3.x | VPR* | 威脅強度 |
---|---|---|---|---|
CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | 非常高 |
CVE-2018-13379 | FortiGate SSL VPN | 9.8 | 9.6 | 非常高 |
CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | 高 |
CVE-2019-19781 | Citrix 應用程式傳遞控制器與閘道 | 9.8 | 9.9 | 非常高 |
CVE-2019-0708 | 遠端桌面服務 | 9.8 | 9.9 | 非常高 |
*請注意,Tenable VPR 分數每晚計算一次。此篇部落格貼文發佈於 4 月 13 日,反映的是當時的 VPR。
惡意電子郵件與攻擊套件所利用的弱點
網路罪犯在新冠病毒疫情恐慌中趁隙而入,在惡意文件中大量利用 CVE-2017-11882 這個弱點,也就是 Microsoft Office 的方程式編輯器元件內的堆疊溢位弱點。這個弱點長年來經常出現在惡意的廣告宣傳電子郵件中,以後仍會是威脅執行者常備工具箱內的基本工具。
威脅執行者兵工廠中的另一個工具就是攻擊套件,這ˋ是網路罪犯特製的軟體,使用此軟體可辨識受害者機器上常用哪些軟體應用程式,然後選擇最容易攻擊的弱點來發動攻擊。雖然 Adobe Flash Player 中的弱點 (如 CVE-2018-15982 和 CVE-2018-4878) 曾經是攻擊套件的要角,但即將過時的 Adobe Flash Player 加上大勢所趨的 HTML5,迫使某些攻擊套件完全捨棄 Flash Player 弱點,轉而利用其他弱點進行攻擊。CVE-2018-8174 是 VBScript 引擎中的釋放後使用弱點,研究人員又稱它為「雙殺」,它會損毀兩種記憶體物件,因而成為攻擊套件愛用的弱點。
CVE | 產品 | CVSS v3.x | VPR* | 威脅強度 |
---|---|---|---|---|
CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | 非常高 |
CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | 非常高 |
CVE-2018-8174 | Internet Explorer (VBScript 引擎) | 7.5 | 9.9 | 非常高 |
CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | 非常高 |
CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | 非常高 |
*請注意,Tenable VPR 分數每晚計算一次。此篇部落格貼文發佈於 4 月 13 日,反映的是當時的 VPR 分數。
廣為攻擊者猖獗利用的其他弱點
對於使用某些版本的 Cisco Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 軟體的企業而言,最重要的是修補 CVE-2018-0296,這種拒絕服務缺陷出現在上述裝置的網路介面時,會造成非預期的重新載入。Cisco 發出警示,表明某些易受攻擊的 ASA 版本並不會重新載入,但身分未經驗證的攻擊者可查看裝置上的機密系統資訊。截至 2019 年底,報告顯示試圖利用此弱點的攻擊事件大增。
此外,Microsoft SharePoint (常用於文件儲存及管理的協同合作平台) 也出現不當輸入內容驗證弱點 CVE-2019-0604,此弱點自 2019 年 5 月以來遭到猖獗利用。這個缺陷一開始的 CVSSv3 分數是 7.8。2019 年 6 月修正為 8.8,2019 年 12 月再度更新為 9.8。如果貴公司使用的是 Microsoft SharePoint,修補這個缺陷實屬重要。
CVE | 產品 | CVSSv3.x | VPR* | 威脅強度 |
---|---|---|---|---|
CVE-2018-0296 | Cisco ASA 及 Firepower | 7.5 | 8.8 | 非常低 |
CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | 低 |
*請注意,Tenable VPR 分數每晚計算一次。此篇部落格貼文發佈於 4 月 13 日,反映的是當時的 VPR 分數。
在動盪不安的時期下游刃有餘
在這段動盪不安的時期,由於我們工作模式的轉變,企業必須瞭解攻擊破綻的變化以及最佳應變之道。知識就是力量,為了瞭解企業風險,不只是要清楚貴公司的環境中有哪些資產,還要有根據風險等級做出決策的真知灼見。在企業內建置風險型弱點管理計畫才能安然度過這些未知的變數。
找出受影響的系統
此處可以找到一份得以辨識這些弱點的 Tenable plugin 清單。
取得更多資訊
加入 Tenable Community 的 Tenable 安全回應團隊。
深入瞭解 Tenable,這是用於全面管理新型攻擊破綻的首創 Cyber Exposure 平台。
索取 Tenable.io Vulnerability Management 的 30 天免費試用。
相關文章
- Remote Workforce
- Vulnerability Management