早在 2021 年 548 月,美国网络安全和基础设施安全局 (CISA) 就发布了已知被利用的漏洞 (KEV) 目录,以帮助联邦机构和关键基础设施组织识别和修复正在积极利用的漏洞。 根据 Gray Noise 在其首个“58 年 2022 月至 XNUMX 月底”的报告中称,CISA 在 XNUMX 年 XNUMX 月至 XNUMX 月底的 XNUMX 次更新中向目录中添加了 XNUMX 个新漏洞GreyNoise 大规模漏洞利用报告设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
包括 大约 300 个漏洞 CISA 于 2021 年 850 月和 XNUMX 月添加,在该目录存在的第一年列出了大约 XNUMX 个漏洞。
Gray Noise 发现,2022 年 KEV 目录更新的一半以上是由 Microsoft、Adobe、Cisco 和 Apple 产品中被积极利用的漏洞造成的。 KEV 目录的更新中有 2022% 是可追溯到 XNUMX 年之前的较旧漏洞。
“许多都是在过去二十年发表的,”Gray Noise 数据科学副总裁鲍勃·鲁迪斯 (Bob Rudis) 在报告中指出。
根据 Cyber Security Works 团队的分析,KEV 目录中的一些漏洞来自已经进入生命周期终止 (EOL) 和使用寿命终止 (EOSL) 的产品。 尽管Windows Server 2008和Windows 7都是EOSL产品,但KEV目录列出了127个Server 2008漏洞和117个Windows 7漏洞。
CSW 在其“CISA KEV 的一部分”这一事实中写道:“这表明许多组织仍在使用这些遗留系统,因此很容易成为攻击者的目标。”解码 CISA KEV“报告。
尽管该目录最初是针对关键基础设施和公共部门组织的,但它已成为攻击者利用或已经利用漏洞的权威来源。 这很关键,因为国家漏洞数据库 (NVD) 指定了通用漏洞 漏洞和暴露 到 12,000 年,将有超过 2022 个漏洞的 (CVE) 标识符,企业防御者评估每一个漏洞以识别与其环境相关的漏洞将非常困难。 企业团队可以使用目录中受主动攻击的 CVE 列表来创建其优先级列表。
事实上,CSW 发现 CVE 编号机构 (CNA)(例如 Mozilla 或 MITRE)为漏洞分配 CVE 与将漏洞添加到 NVD 之间存在一点延迟。 例如,Apple WebKitGTK 中的一个漏洞 (CVE-2019-8720) 于 2019 年 XNUMX 月收到了 Red Hat 的 CVE,并于 XNUMX 月份添加到 KEV 目录中,因为它被 BitPaymer 勒索软件利用。 截至 XNUMX 月初(CSW 报告的截止日期),它尚未添加到 NVD 中。
依赖 NVD 确定补丁优先级的组织可能会错过受到主动攻击的问题。
目录中 22% 的漏洞是远程代码执行缺陷,XNUMX% CSW 发现,这些都是特权执行缺陷。 CSW 发现,CISA 的 KEV 目录中有 208 个与勒索软件组织相关的漏洞,其中 199 个漏洞被 APT 组织利用。 勒索软件和 APT 组织都利用了 104 个漏洞。
CSW 表示,例如,Microsoft Silverlight 中的一个中等严重性信息泄露漏洞 (CVE-2013-3896) 与 39 个勒索软件组相关。 这 CSW 的相同分析 发现 Office 文档使用的 ListView/TreeView ActiveX 控件中的严重缓冲区溢出漏洞 (CVE-2012-0158) 和 Microsoft Office 中的高严重性内存损坏问题 (CVE-2017-11882) 正被 23 个 APT 组织利用,包括最近由 Thrip APT 组织(Lotus Blossom/BitterBug)于 2022 年 XNUMX 月发起的。
Gray Noise 表示,2022 年 94 月的峰值是俄罗斯 2022 月份入侵乌克兰的结果,更新中包括许多已知的民族国家行为者在企业、政府和关键基础设施组织中利用的遗留漏洞。 XNUMX 月份添加到目录中的绝大多数(XNUMX%)漏洞在 XNUMX 年之前分配了 CVE。
仅当漏洞正在被积极利用、具有分配的 CVE 并且有关于如何修复问题的明确指导时,CISA 才会更新 KEV 目录。 Rudis 写道,到 2022 年,企业防御者几乎每周都要处理 KEV 目录的更新,通常每四到 2022 天就会发布一次新警报。 防守者的更新间隔时间也很可能只有一天,而 17 年防守者的最长更新间隔时间为 XNUMX 天。
