Организации не спешат исправлять опасные уязвимости в своих системах
2020 год стал рекордным по количеству раскрытых уязвимостей (18 352), а в этом году их число наверняка возрастет - по состоянию на 1 сентября этот показатель уже составил 13 002 уязвимости. При этом 20% проблем оцениваются как уязвимости высокого уровня опасности по шкале NVD. Учитывая скорость, с которой киберпреступники берут на вооружение новые уязвимости, специалисты ИБ-компании Trustwave решили изучить, насколько оперативно организации устанавливают патчи.
Исследователи провели несколько сканирований интернета (22 июля, 16 и 31 августа) на предмет установок, содержащих ряд опасных уязвимостей, затрагивающих MS Exchange Server ( ProxyShell и ProxyToken ), Apache Tomcat, VMware vCenter, Pulse Connect (обход аутентификации), F5 BIG-IP, QNAP QTS, MS Exchange Server ( ProxyLogon ) и Oracle WebLogic Server.
Результаты оказались неутешительными. К примеру, Microsoft исправила уязвимости ProxyShell и ProxyToken в мае и апреле нынешнего года соответственно, а подробная информация о них появилась в июле. Тем не менее, по состоянию на 31 августа, в Сети насчитывалось примерно 45 тыс. установок MS Exchange, уязвимых к ProxyShell, то есть, 21,17% серверов оставались не обновленными, отметили исследователи. Наиболее высокие показатели наблюдались в США (23,1% уязвимых серверов), Германии (18,69%), Великобритании (6,09%), Франции (5,14%) и Италии (4,18%).
Подобная ситуация наблюдалась и в случае прочих уязвимостей. По состоянию на 31 августа более половины (57%) установок Apache Tomcat оставались уязвимыми, хотя разработчики Apache выпустили соответствующий патч 12 июля. Интересно, что 41% установок работали на более неподдерживаемых версиях Apache Tomcat (8.5 и ниже).
Компания Vmware выпустила патчи, исправляющие уязвимости CVE-2021-21985 и CVE-2021-21986 в решении для управления серверами vCenter Server 25 мая нынешнего года. Спустя неделю после выпуска обновлений в Сети насчитывалось более 80% уязвимых серверов, за три месяца их число сократилось всего на 30%.
Задержки компаний и организаций с применением патчей и обновлений могут быть вызваны множеством причин, но нужно помнить, что киберпреступники используют те же исследовательские техники (такие как Shodan и прочие инструменты сканирования интернета), что и ИБ-эксперты. То есть, каждый уязвимый сервер, который найдут исследователи с тем же успехом могут обнаружить и злоумышленники.
"Необходимо, чтобы организации проактивно идентифицировали уязвимости и исправляли их. Жизненно важно вести текущий аудит активов, особенно тех, что доступны через интернет. Как правило, эксплоиты для критических уязвимостей появляются в промежуток от менее дня до месяца и важно, чтобы организации постоянно проводили мониторинг, отслеживание и обновление активов", - отметили специалисты.