【堵漏勿懶】修補程式早發布 黑客借存在逾五年漏洞入侵企業
安全漏洞一直是黑客入侵企業的主要途徑之一,如果企業持續不作修補,對漏洞不加理會,無疑是為黑客創造搵錢機會。有研究人員提醒企業,超過一半的安全漏洞已經存在五年以上,形容不作修補是非常不明智。
企業網絡中的舊安全漏洞,令企業及組織面臨勒索軟件和其他網絡攻擊的風險,因黑客會積極入侵未修補的系統。F-Secure 網絡安全研究人員的分析指出,存在於企業網絡中的 61% 安全漏洞在 2016 年或更早已出現,即使修補程式已出現了五年以上。甚至有些持續被利用來破壞網絡的漏洞已有十多年的歷史。
最常見未修補而困擾企業的漏洞是 CVE-2017-11882,與 Microsoft Office 中的一個舊內存損壞問題有關,當中包括 Office 365。該漏洞自 2000 年以來一直存在,於 2017 年被發現並提出修補。F-Secure 稱,它是其中一個 Windows 上最常被利用的漏洞。該漏洞幾乎不需要用戶互動,對進行網絡釣魚活動的網絡犯罪分子而言相當有用。研究人員指出自 2017 年以來,該漏洞經常被包括 Cobalt Group 在內的黑客組織使用。
研究中詳述的其他漏洞包括 CVE-2012-1723,是 Oracle Java SE 7 中 Java 運行時環境 (Java Runtime Environment, JRE) 的一個漏洞,並在 2012 年公布,另外還有 CVE-2013-1493。研究人員指出,企業組織可使用修補程式來防止這些漏洞被黑客利用;同時這些漏洞早已存在多年,但許多組織尚未作更新,變相更易受到網絡犯罪們的入侵。
報告提到,企業組織將勒索軟件視為他們面臨的主要網絡安全威脅,但網絡犯罪分子仍能利用這些漏洞植入木馬惡意軟件,或通過竊取用戶名和密碼來存取網絡。然而,對企業組織構成風險的不僅僅是網絡犯罪分子,獲國家支持的黑客組織亦會使用同一漏洞,因這些漏洞提供相對容易存取網絡的方法。
識別和管理漏洞,對於擁有大量 IT 資產的大型企業而言,可能是一項艱鉅的任務,但防止網絡犯罪分子利用漏洞的最有效方法,是讓 IT 部門和安全團隊了解企業在網絡上的各個部分,並採取行動修補及強化防禦。F-Secure 全球事件響應負責人 Joani Green 指出,安全人員應了解企業的 IT 資產,企業應如何檢測這些攻擊,以及他們的行業正面臨哪些風險,做好這些準備可減輕勒索軟件攻擊所造成的大部分損害。他還警告,企業應該制定計劃來應對而成功運作的攻擊。她指,檢測攻擊顯然是第一步,但制定完整響應計劃的組織,可以在幾小時內阻止這些事件。
