勒索软件犯罪分子喜欢 Cisa 的 Kev 列表 – 这是一个错误，而不是一个功能

快速阅读: 据《The Register》称，新研究显示，28%的网络安全和基础设施安全局（CISA）已知利用漏洞（KEV）目录中的漏洞在2024年被勒索软件犯罪分子使用。GreyNoise报告称，这些漏洞主要影响家庭路由器，许多已有多年历史。专家呼吁组织评估替代的安全解决方案，以应对持续存在的威胁。GreyNoise特别指出爱维蒂、D-Link和VMware等供应商存在关键漏洞，建议客户加强防御或更换供应商。

新研究表明，攻击者正在积极监视那些已知可用于实施勒索软件攻击的漏洞数据库。GreyNoise的年度大规模互联网利用报告本周披露，网络安全和基础设施安全局（CISA）已知利用漏洞（KEV）目录中记录的漏洞中有百分之二十八也被勒索软件犯罪分子在2024年使用。可以合理假设攻击者会将KEV列表视为一个有用的工具，帮助他们规划攻击。它指出了其他人在利用漏洞方面取得成功的案例，并显示这些漏洞是否被用于勒索软件攻击，通常还提供了所有相关文档的链接，解释这些漏洞如何被利用。KEV计划旨在改善美国公共部门的补丁管理，但证据表明它也在无意中对私营部门产生了积极影响。GreyNoise的数据表明，并非所有KEV目录中的漏洞都对勒索软件攻击者有启发性。一些漏洞是在CISA将其添加到KEV目录之前就已经被勒索软件犯罪分子利用了。例如，克洛·哈莫尼中的远程代码执行（RCE）问题（CVE-2024-50623），根据GreyNoise，在2024年初就被利用，但直到一次大规模利用活动开始后才被列入KEV目录。还有Progress公司的肯普负载均衡器中的完美十级关键命令执行漏洞（CVE-2024-1212），该漏洞于2024年2月被披露至国家漏洞数据库，但直到同年11月才被添加到KEV目录。然而，在大多数情况下，如果确认存在漏洞利用行为，该漏洞通常会在一两周内被列入CISA的列表。

最糟糕的情况是勒索软件犯罪分子去年确实参考了KEV目录以获取初始访问权限的灵感，但根据GreyNoise的遥测数据，被广泛利用且远离勒索软件的漏洞主要针对家庭路由器。每日IPv4流量中充斥着各种漏洞，其中一些漏洞早在十年前就被发现。排名第一的是CVE-2018-10561，这是一种九点八分的认证绕过漏洞，存在于达桑GPON家庭路由器（由ISP提供的设备）中，主要是因为它是亚太地区各种僵尸网络运营商青睐的漏洞。米拉伊、梅特尔、萨托里、哈伊姆和穆斯特克等均已知利用此漏洞。排名第二的是CVE-2014-8361，另一种九点八分的漏洞影响Realtek SDK中的迷你IGD SOAP服务，导致远程代码执行（RCE），影响了各种不同路由器。网件和华为路由器也因被用于挖掘加密货币和发起DDoS攻击而成为目标。事实上，2024年被利用的漏洞中有百分之四十至少已有四年历史，有些甚至追溯到1990年代。研究人员呼吁采取“立即、具体措施”来应对这些持续存在的威胁，因为攻击者通过复杂的自动化手段成功地利用了旧漏洞和新漏洞进行盈利。GreyNoise还指出三家供应商的产品中发现了“令人担忧的关键漏洞模式”。爱维蒂是第一个被研究人员关注的供应商，原因是“在补丁可用之前，多个零日漏洞被发现并利用”，报告指出。爱维蒂的VPN和其他安全产品遭到国家级支持的团体和网络犯罪分子的攻击，导致政府机构、财富五百强公司和其他大型组织遭受入侵。该供应商在2024年初因难以迅速修补上述零日漏洞而陷入困境，并在2025年1月重复了这一模式。GreyNoise敦促爱维蒂客户认真对待其安全问题，部署强大的威胁监控系统，甚至建议完全放弃该供应商。

这种无法停止的信息窃取恶意软件的规模暴露无遗。药物筛查公司DISA花了整整一年时间才披露影响数百万用户的安全漏洞。针对操作技术系统的恶意软件变种非常罕见，但去年发现了两种。南方水务公司因涉嫌接受七十五万美元的Black Basta赎金要求而拒绝透露更多信息。鉴于攻击者已经证明能够利用多个漏洞实现全面系统入侵，组织应强烈考虑评估替代的VPN和安全解决方案，这些方案已经展示了更好的安全实践和更快的漏洞响应速度。同样，D-Link的补丁策略受到质疑。特别是对于那些已停产产品的关键漏洞，尽管仍有数万台产品暴露在网络上，“这为组织创造了实质性的不可接受风险”，他们说。与爱维蒂一样，研究人员抨击D-Link在“多条产品线中存在令人担忧的关键漏洞”，其CVE评分经常达到九点八的严重程度，随后警告IT专业人员避免使用它。鉴于D-Link表现出不修补关键漏洞的行为、新漏洞的频繁发现以及公司明确表示不再支持老产品，组织应强烈考虑转向具有更强大安全实践和更清晰长期支持承诺的网络供应商。

VMware是GreyNoise打击名单上的第三个也是最后一个受害者，其处理ESXi和vCenter中的关键漏洞时存在问题，这些问题被勒索软件团伙和国家级攻击者滥用，这是研究人员对其批评的主要原因。GreyNoise表示，布罗德科姆处理这些漏洞（CVE-2024-38812、CVE-2024-37085和CVE-2024-38813）及其他漏洞的方式“尤其令人担忧”。不完整的补丁和延迟承认漏洞正在被积极利用是其评估的主要原因。再次，GreyNoise敦促客户尽可能加强防御，但仍建议更换VMware，选择不同的虚拟化供应商。该公司表示：“鉴于关键漏洞的频率增加，布罗德科姆在提供及时和完整修复方面的挑战，以及由于VMware产品在企业中的广泛应用而成为勒索软件操作者的目标，组织应强烈考虑评估替代的虚拟化平台，这些平台已经展示了更为稳健的安全实践和更透明的漏洞管理流程。”

(以上内容均由Ai生成)