Millioner sårbare over for KEV-fejl

Mange gamle kendinge ligger stadig upatchet hen.

Over 15 millioner internetvendte tjenester er modtagelige for mindst én af de 896 sårbarheder, der står opført i CISA's KEV-katalog.

Det skriver Bleeping Computer på baggrund af en rapport fra cybersikkerhedsfirmaet Rezilion, der har lavet en omfattende kortlægning for at identificere sårbare systemer.

Det interessante er, at KEV-listen er lavet med det formål at få amerikanske føderale enheder og virksomheder og organisationer, tjenester osv i øvrigt til at opdatere, og hvis der stadig ligger så mange upatchede systemer hen, så er det spørgsmålet om KEV-listen har opfyldt sit formål. Men listen kan også bruges som benchmark ift. hvilke systemer man i al fald bør opdatere. Det er så det, som Rezilion har gjort.

Rezilions metode

Rezilion har brugt scanningstjenesten fra Shodan til at finde enheder, der stadig er sårbare. Det blev til 15 millioner. Over halvdelen var sårbare over for en af de 137 CVE'er, der vedrører Microsoft Windows.

Andre interessante iagttagelser:

  • Næsten halvdelen sårbarhederne er over fem år gamle
  • 4,5 mio internet-vendte enheder identificeret som sårbare over for CVE’er i kataloget, der er opdaget mellem 2010 og 2020
  • En medium kritisk sårbarhed (CVE-2021-40438 med en CVSS-score på 6,8), optræder i næsten 6,5 millioner Shodan-resultater. Sårbarheden påvirker Apache HTTPD-servere v2.4.48 og ældre.
  • Proxyshell, der påvirker Microsoft Exchange giver næsten 15.000 positive svar.
  • ProxyLogon: Der er stadig 4.990 systemer sårbare over for ProxyLogon.
  • HeartBleed (CVE-2014-0160): mellemkritisk fejl med en score på 5.0 påvirker OpenSSL. Den gør det muligt for angribere at lække følsom information fra en proceshukommelse. Næsten 200.000 er stadig sårbare over for denne fejl.

Det fremgår, at tallet med de 15 mio sårbare enheder er konservativt sat. Har man behov for at prioritere mellem opdateringerne, så anbefales Rezilion at man fokuserer på kritiske fejl eller sikring af dem bag en firewall. Fejl i Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office og Win32k udgør en fjerdedel af CISA's KEV-katalog, så disse produkter ville være et godt udgangspunkt.

Links:

https://www.bleepingcomputer.com/news/security/15-million-public-facing-services-vulnerable-to-cisa-kev-flaws/