加快修補!網路犯罪分子仍在利用這些舊漏洞

存在多年的安全漏洞仍然是勒索軟體攻擊常用的攻擊方法，因為企業沒有應用補丁來修復這些漏洞。

Qualys的網路安全研究人員檢查了近年來勒索軟體攻擊中最常用的漏洞和暴露 (CVEs) 。他們發現其中一些漏洞已經存在了近十年，並且有供應商的補丁可用。但由於許多組織仍未應用可用的安全更新，因此它們仍然容易受到勒索軟體攻擊。

在分析中詳述的前五個漏洞中最古老的漏洞是 CVE-2012-1723，這是Oracle Java SE 7 中 Java 執行時環境 (JRE) 元件中的一個漏洞，該漏洞於2012年進行了詳細說明。據研究人員稱，它通常被用於傳播Urausy勒索軟體。儘管這種勒索軟體可進行防範，但由於一些企業沒有進行相應的安全補丁更新，仍然容易收到攻擊。

另外兩個常見的安全漏洞來自2013年，CVE-2013-0431是revton勒索軟體利用的JRE漏洞，CVE-2013-1493是Exxroute勒索軟體針對的Oracle Java漏洞。在這兩種情況下，修復漏洞的補丁已經可用了8年多，但仍高居被利用漏洞前五。

與此同時，CVE-2018-12808是Adobe Acrobat中的一個已有三年曆史的漏洞，它被用來通過網路釣魚郵件和惡意PDF檔案傳送勒索軟體。Ryuk勒索軟體和被認為是其繼承者的Conti勒索軟體都使用這種攻擊方法。

列表中的最新漏洞是Adobe CVE-2019-1458，這是一個Windows系統的許可權升級漏洞，於2019年12月出現，NetWalker勒索軟體組經常利用此漏洞。

對於IT和資訊保安團隊而言，及時應用保持網路安全所需的所有補丁通常是一場艱苦的戰鬥，漏洞增加的速度比運營團隊修補速度呈指數級高，這是漏洞仍未得到修補的首要驅動因素。

網路攻擊者知道，許多企業和機構都在努力打補丁，所以他們積極掃描漏洞，從而為勒索軟體和其他網路攻擊打下基礎。

補丁管理是一個複雜且耗時的過程，但資訊保安團隊仍舊需要花大量實踐進行安全更新，特別是，當這些安全漏洞已經出現被利用的情況。

沒有預防勒索軟體的完全之策，能目前能做的就是在軟體開發期間減少安全漏洞的產生，使用 靜態程式碼檢測工具等發現缺陷和安全漏洞，提高軟體的安全性。漏洞管理的重要組成部分是漏洞察覺、評估，優先順序排序和修復的結合。

阿塔耶說:“沒有預防勒索軟體和修補漏洞的靈丹妙藥，但總體而言，推動過程以減少攻擊面應該是目標。”

“沒有防止勒索軟體和修復漏洞的靈丹妙藥，但總的來說，減少攻擊面的驅動過程應該是目標，”Athalye 說。

“漏洞管理的重要組成部分是漏洞評估、優先順序排序和修復的結合。”

參讀連結：