随着CVE漏洞的不断增加与披露,为了降低已知被利用漏洞的重大风险,自去年11月开始,美国网络安全暨基础设施安全局(CISA)发布了一份清单,列出已遭成功利用的高风险漏洞名单,并且持续更新,目的就是以法令要求该国联邦政府要在限定时间内,完成这些重大漏洞的更新修补,而这份清单,也已成为全球企业在漏洞修补上的重要参考,让各界的关注重点,可以更聚焦于实际攻击行动中被使用的漏洞。值得我们关注的是,在这些重大风险漏洞中,有些并不是最近几年的已知漏洞,而是相当古老的已知漏洞。
基本上,CISA这个“已知成功利用漏洞列表”,全名是Known Exploited Vulnerabilities Catalog,简称KEV,我们查看了该网页的内容,这份清单公布一年以来,目前累计有849个漏洞(从去年11月3日至今年11月3日止),而到目前11月29日为止,则共有859个。
特别的是,前段时间CISA在此清单中,增加了几个将近10年以上的已知漏洞。例如,在9月15日添加的6个已知漏洞中,有4个是2013年的漏洞,有1个是2010年的漏洞。
在此其中,有3个漏洞均是存在于Linux Kernel,并且都是属于本机权限提升(LPE)的漏洞类型。首先是CVE-2013-2596,这是一个整数溢出(integer overflow)漏洞;其次CVE-2013-2094,这是由于Kernl中的一项函数的错误使用,使本地端用户可以获得权限升级;最后是CVE-2013-6282漏洞,这是一个不适当输入验证漏洞,可能允许应用程序读取与写入Kernel,导致特权提升。
另一个漏洞存在于Code Aurora ACDB音频驱动程序, CVE-2013-2597是一个基于Stack的缓冲区溢出漏洞,该驱动程序主要被应用于Andorid设备等多个第三方产品中。
最后是存在微软Windows的CVE-2010-2568,这是一个RCE漏洞,由于Windows解析捷径(.LNK文件)时产生错误,将让攻击者可利用漏洞自动执行恶意程序。在2010年时,间谍组织买通伊朗核电厂技术人员,将含有此漏洞利用工具的U盘插入环境,传播Stuxnet蠕虫。
更进一步查看KEV所列,CISA所纳入的古老漏洞并不止于这五个。从上述古老漏洞至今仍被攻击者积极利用的状况来看,促使CISA列入清单之内,或许这意味着,许多企业在这些IT资产的维护更新上,仍存在很大的问题。毕竟,修补漏洞是防止遭受攻击的最好方法,如果不能修补与缓解,更该思考应该设法更换这些设备。
CISA在今年9月15日新列入KEV的6个已知漏洞,有5个都不是最近两三年的漏洞,而是相当古老的漏洞,分别是:CVE-2013-2596、CVE-2013-2094、CVE-2013-6282、CVE-2013-2597与CVE-2010-2568。
另一方面,今年11月1日,在MITRE CVE的网站上,也特别公布一项消息,就是以古老漏洞带来的问题为题,其中引用了CVE董事会成员Kent Landfield的一番言论,其中探讨了外界应重新查看每个漏洞管理程序,同时也提及CISA在近期针对一些古老漏洞修补的状况。
他认为,现在许多组织都依赖FIRST.org开发的通用漏洞评分系统(CVSS),作为修补优先级的判断,尽管重大漏洞(9.0到10.0分),以及高风险漏洞(7.0到8.9分),会先备受到重视,但中风险漏洞通常会被往后推迟到另一个时间,至于分数较低的漏洞,通常会被完全忽略。这个不仅仅是最终的用户端会这样想,软件厂商也陷入这种心态。
因此,他建议,如果组织企业是根据CVSS评分来决定修补,同时也请订阅CISA的“已知成功利用漏洞列表”,将其内容作为漏洞管理流程的优先事项。
