SixMap發(fā)布的一份新報(bào)告顯示，美國(guó)許多大型能源供應(yīng)商都存在可被利用的漏洞，而大多數(shù)安全團(tuán)隊(duì)甚至可能都沒(méi)有察覺(jué)到這些漏洞。

研究人員對(duì)21家大型能源公司的外部攻擊面進(jìn)行了評(píng)估，分析了近4萬(wàn)個(gè)IP地址，并對(duì)每臺(tái)主機(jī)的全部65535個(gè)端口進(jìn)行了掃描，調(diào)查結(jié)果揭示了這些公司存在持續(xù)的風(fēng)險(xiǎn)、存在盲點(diǎn)以及使用工具過(guò)時(shí)等問(wèn)題。

這些公司總共有58862項(xiàng)服務(wù)暴露在互聯(lián)網(wǎng)上，其中，約7%的服務(wù)(近4000項(xiàng))在非標(biāo)準(zhǔn)端口上運(yùn)行，而大多數(shù)暴露管理工具的默認(rèn)掃描并不包含這些端口。

報(bào)告稱(chēng)，這表明存在可見(jiàn)性不足的問(wèn)題，因?yàn)樵S多安全工具僅掃描排名前5000的端口。

一些已知存在漏洞的服務(wù)，如HTTP、SSH、SMTP和DNS，被發(fā)現(xiàn)運(yùn)行在遠(yuǎn)非默認(rèn)的端口上。SixMap總共在非標(biāo)準(zhǔn)端口上發(fā)現(xiàn)了304個(gè)存在漏洞的服務(wù)，其中包括21個(gè)已知在野外被利用的CVE(通用漏洞披露)。報(bào)告指出，這些漏洞尤其危險(xiǎn)，因?yàn)榘踩珗F(tuán)隊(duì)可能根本不知道該主機(jī)的存在，或者不知道該服務(wù)正在該主機(jī)上運(yùn)行。

此次研究總共發(fā)現(xiàn)了5756個(gè)CVE，其中，377個(gè)正被攻擊者積極利用。報(bào)告指出，大多數(shù)CVE從未被利用過(guò)，但被利用的CVE應(yīng)作為優(yōu)先事項(xiàng)，立即進(jìn)行修復(fù)。

多家公司都存在一部分相同的漏洞。研究人員在21家受評(píng)估的能源行業(yè)組織中，至少有10家的外部攻擊面上發(fā)現(xiàn)了43個(gè)獨(dú)特的CVE，這些漏洞被視為系統(tǒng)性風(fēng)險(xiǎn)，因?yàn)樗鼈兛赡鼙挥脕?lái)在整個(gè)行業(yè)內(nèi)發(fā)起大規(guī)模攻擊。

其中一個(gè)例子是CVE-2023-38408，這是一個(gè)與Silent Chollima相關(guān)的嚴(yán)重SSH漏洞。在21家公司中，有16家發(fā)現(xiàn)了該漏洞，這些漏洞通常運(yùn)行在21098和41094等晦澀的端口上，這使得檢測(cè)變得更加困難，其他共有的CVE還包括過(guò)時(shí)的Apache服務(wù)和Web應(yīng)用程序中的弱點(diǎn)。

IPv6的暴露增加了另一層風(fēng)險(xiǎn)。報(bào)告顯示，盡管許多組織認(rèn)為自己沒(méi)有IPv6資產(chǎn)，但受評(píng)估的21家組織中，每一家都至少有一個(gè)正在使用的IPv6地址。有些組織超過(guò)30%的主機(jī)使用IPv6。由于傳統(tǒng)的暴露管理工具無(wú)法發(fā)現(xiàn)IPv6主機(jī)，因此這部分基礎(chǔ)設(shè)施往往處于無(wú)人監(jiān)控的狀態(tài)。

有一家組織尤為突出，其CVE數(shù)量高達(dá)2875個(gè)，在所有組織中最高，原因是其許多主機(jī)和端口上都運(yùn)行著一個(gè)老舊的Apache Web服務(wù)。報(bào)告指出，我們可以推測(cè)這些主機(jī)是安全團(tuán)隊(duì)未知的影子IT資產(chǎn)。

調(diào)查結(jié)果凸顯了傳統(tǒng)安全工具的主要弱點(diǎn)。漏洞管理產(chǎn)品旨在評(píng)估主機(jī)并檢測(cè)漏洞，但通常只掃描排名前1000或前5000的端口，這就為存在漏洞的服務(wù)提供了藏身之處。

SixMap建議掃描全部端口范圍、了解IPv6資產(chǎn)情況，并根據(jù)風(fēng)險(xiǎn)和已知利用情況對(duì)CVE進(jìn)行優(yōu)先級(jí)排序。報(bào)告總結(jié)道，對(duì)于那些試圖入侵網(wǎng)絡(luò)的威脅組織來(lái)說(shuō)，每一個(gè)暴露點(diǎn)都可能成為潛在的初始攻擊途徑。