研究人员对21家大型能源公司的外部攻击面进行了评估,分析了近4万个IP地址,并对每台主机的全部65535个端口进行了扫描,调查结果揭示了这些公司存在持续的风险、存在盲点以及使用工具过时等问题。
这些公司总共有58862项服务暴露在互联网上,其中,约7%的服务(近4000项)在非标准端口上运行,而大多数暴露管理工具的默认扫描并不包含这些端口。
报告称,这表明存在可见性不足的问题,因为许多安全工具仅扫描排名前5000的端口。
一些已知存在漏洞的服务,如HTTP、SSH、SMTP和DNS,被发现运行在远非默认的端口上。SixMap总共在非标准端口上发现了304个存在漏洞的服务,其中包括21个已知在野外被利用的CVE(通用漏洞披露)。报告指出,这些漏洞尤其危险,因为安全团队可能根本不知道该主机的存在,或者不知道该服务正在该主机上运行。
此次研究总共发现了5756个CVE,其中,377个正被攻击者积极利用。报告指出,大多数CVE从未被利用过,但被利用的CVE应作为优先事项,立即进行修复。
多家公司都存在一部分相同的漏洞。研究人员在21家受评估的能源行业组织中,至少有10家的外部攻击面上发现了43个独特的CVE,这些漏洞被视为系统性风险,因为它们可能被用来在整个行业内发起大规模攻击。
其中一个例子是CVE-2023-38408,这是一个与Silent Chollima相关的严重SSH漏洞。在21家公司中,有16家发现了该漏洞,这些漏洞通常运行在21098和41094等晦涩的端口上,这使得检测变得更加困难,其他共有的CVE还包括过时的Apache服务和Web应用程序中的弱点。
IPv6的暴露增加了另一层风险。报告显示,尽管许多组织认为自己没有IPv6资产,但受评估的21家组织中,每一家都至少有一个正在使用的IPv6地址。有些组织超过30%的主机使用IPv6。由于传统的暴露管理工具无法发现IPv6主机,因此这部分基础设施往往处于无人监控的状态。
有一家组织尤为突出,其CVE数量高达2875个,在所有组织中最高,原因是其许多主机和端口上都运行着一个老旧的Apache Web服务。报告指出,我们可以推测这些主机是安全团队未知的影子IT资产。
调查结果凸显了传统安全工具的主要弱点。漏洞管理产品旨在评估主机并检测漏洞,但通常只扫描排名前1000或前5000的端口,这就为存在漏洞的服务提供了藏身之处。
SixMap建议扫描全部端口范围、了解IPv6资产情况,并根据风险和已知利用情况对CVE进行优先级排序。报告总结道,对于那些试图入侵网络的威胁组织来说,每一个暴露点都可能成为潜在的初始攻击途径。
