TrustWave报告还发现,2022将超过2021关键CVE的2021
一份报告发现,受里程碑式log4shell漏洞影响的补丁系统恰好与最关键缺陷的修补率的更大改善相吻合。
Apache中的远程代码执行(RCE)缺陷log4j(CVE-2021-44228),近乎混语的开源Java Logging Utility,在2021年12月出现后,将组织跨越生态系统拼凑而成,以修复应用程序或补丁系统。
八个月,2022 Trustwave SpiderLabs遥测报告总结说,组织“最终了解具有坚实安全姿势的必要性”。
推荐的基于图的JavaScript错误扫描仪在Node.js库中发现了100多个零周日
由Trustwave Spiderlabs研究人员进行的shodan搜索显示,与2022年最高特征的漏洞相比,受影响的实例的比例急剧下降。
“脆弱性披露到点的时间已经减少,” Trustwave研究与安全扫描总监Alex Rothacker告诉每日swbeplay2018官网ig。
名人因素
他还注意到,安全缺陷的“名人水平”与修补速度和修补速度相关,log4j和春季框架实例超出了Rothacker所说的是F5的Big-IP和Atlassian在这些方面的融合中的较低知名度。
例如,在运行Log4J的最受欢迎的产品中,只有405,993个实例中,只有0.36%容易受到第一个log4shell补丁的影响(而不是随后的旁路)漏洞浮出水面六个月。
相当数字为452,520个实例中的0.075%,该实例运行了弹簧框架的未拨动版本,这是另一个流行的开源Java组件,就‘Spring4shell’(CVE-2022-22965)披露后三个月。
实例很容易受到RCE的影响F5的Big-IP(CVE-2022-1388)和Atlassian Confluence服务器和数据中心(CVE-2022-26134)在披露后的1,719名和7,074个寄主中的4.44%的占1,719%的2.73% - 尽管在这些情况下披露更为最近。
相比之下,Trustwave的2021年报告发现与三个类似影响的漏洞中的每一个(几周或几个月)释放后,超过50%的实例相对于三个类似影响的漏洞而言是脆弱的。
Rothacker说:“ Log4shell似乎是许多组织的呼吁。”“我们从客户那里获得的log4shell的问题和补救措施帮助的量是前所未有的。”
临界质量
报告发现,今年将以CVE的数量和关键的比例来舒适地蚀2021年。
例如,Rothacker表示,八月在2022年和2021年已经超过了所有前几个月,截至8月26日出版了3,779 CVE,而7月和6月的CVE也分别为2,226和2,377。
关键漏洞占2022 CVE的18%,高于2021年CVE的13%。
该报告还发现,某些受影响的实例仍然容易到2016年的CVE,最广泛的错误是CVE-2017-15906,加密的远程登录工具OpenSSH中的问题。
尽管默认情况下,尽管大多数Linux发行版都在大多数Linux发行版中分发,但该错误的中等严重性意味着“许多组织很可能不会将其视为一个重大问题,并且正在将其定义确定化。” Rothacker说。
他补充说:“其他列出的漏洞要么用于较不常见的软件,例如CVE-2018-15199,或者确实具有其他缓解,要么有限制,例如CVE-2018-1312,使它们不太可能被利用。”
前三名CWE分类2022年跨站脚本((XSS),SQL注入,并且不合时宜地写错误。
