网络犯罪最流行的六个安全漏洞
近日,安全厂商Cognyte对地下犯罪论坛中的聊天记录进行了分析,掌握了攻击者最青睐对知的常见漏洞和暴露(CVE)的关键线索,这反过来又为防御者有的放矢地部署安全措施提供了重要线索。
Cognyte对此类讨论进行了分析,研究了2020年1月至2021年3月期间的15个网络犯罪论坛。在其报告中,研究人员强调了最常提及的CVE,并试图确定攻击者接下来可能会袭击哪些地方。
“我们的调查结果表明,这两个参数之间没有100%的相关性,因为最流行的前五个CVE未必是在被调查的暗网论坛中被提及最多的那些。”报告称:“但是,了解在检查期间哪些CVE在暗网上的威胁行为者中流行仍然足够了。”研究人员发现,在2020年1月至2021年3月期间,ZeroLogon、SMBGhost和BlueKeep是攻击者中最受关注的漏洞之一。
六个最受犯罪分子欢迎的漏洞(CVE)
CVE-2020-1472(ZeroLogon)
CVE-2020-0796(SMBGhost)
CVE-2019-19781
CVE-2019-0708(BlueKeep)
CVE-2017-11882
CVE-2017-0199
报告称:“该列表中的大多数CVE都被国家黑客和网络犯罪分子(例如勒索软件团伙)在针对不同行业的全球攻击中滥用。”
值得注意的是,所有CVE威胁行为者关注的都是旧漏洞,这意味着基本的修补和缓解措施可能在许多攻击开始之前就已经停止了。
该报告补充说,在2020年的COVID-19大流行期间,威胁行为者利用了已有9年历史的CVE-2012-0158,这“表明组织没有修补他们的系统,也没有保持弹性的安全态势。”
Cognyte发现,暗网上六个最流行的漏洞中的五个都与微软有关,这意味着微软很难让用户修补这些漏洞。
ZeroLogon就是一个典型的例子。微软软件中的缺陷允许威胁行为者访问域控制器并破坏所有Active Directory身份服务。修补ZeroLogon的速度太慢了,微软在1月份宣布将开始使用“强制模式”阻止Active Directory域对未修补系统的访问。
2020年3月,微软修补了名单上的第二大漏洞CVE-2020-0796,但截至10月,仍有10万个Windows系统存在漏洞。
分析师解释说,论坛语言不同,讨论的CVE也不同。俄语论坛青睐的CVE是CVE-2019-19781,中国论坛对CVE-2020-0796的讨论最多,在英语威胁圈中,CVE-2020-0688和CVE-2019-19781之间存在联系,土耳其论坛的重点是CVE-2019-6340。
研究人员补充说,就论坛内容而言,大约一半的受监控论坛是讲俄语的。