思想的差距:仔细看看八从2022年著名的cf

系列文章(共四篇)的这是最后检查的时间之间的首次发现漏洞时,当它完全披露在国家漏洞数据库。在本文中,我们检查八个著名的cf与巨大的差距披露时间表并讨论如何站得住脚的帮助。

好奇心要求我们问问题,我们试图把事情放在一起,试图理解这许多的方面,也许带来的作用相对较小的元素,力无限多种组合。

理查德。亚军

在过去我们的合唱的博客系列,我们仔细看看8 2022年著名的cf和探讨他们的发现和充分披露之间的差距在国家漏洞数据库(NVD)可以把组织面临风险。这些是三个主要结论:

1. 从2022年的八个著名的cf分析在这项研究中,一些人差距之间的50天或更多时间的初始信息披露和他们在NVD完全披露。这种差距让威胁演员的优势,因为他们可以利用之前的缺陷甚至许多安全团队知道有风险,更不用说评估他们是否受到影响。
2. 我们看到了186天的间隔时间cve - 2022 - 1096(一种混乱的脆弱性在V8在Google Chrome)被发现,当时NVD充分披露。这个漏洞至少有一个利用可用101天之前NVD充分披露。
3. 之间的2000年1月1日,12月31日,2022年,成立了Nessus插件NVD前32862年覆盖漏洞,其中677 NVD没有完全披露的本研究的发布日期。

在2022年选中的漏洞与差异

在本节中,我们强调八cf从2022年我们跟踪显著延迟NVD细节充分披露;至少三种,花了几个月前他们在NVD完全披露。

如图1所示,八cf:

• 后收到细节NVD站得住脚的插件都适用。
• 已经被站得住脚的脆弱性优先级评级(冲程体积)至关重要的或高。
• 有一个功能开发确认。

图1

CVE	描述	CVSS v3	冲程体积*
cve - 2022 - 1134	在V8 Google Chrome类型混乱	8.8	至关重要的
cve - 2022 - 1364	类型混淆在Google Chrome的V8的涡扇发动机	8.8	至关重要的
cve - 2022 - 1096	在Google Chrome的V8的类型混淆	8.8	至关重要的
cve - 2022 - 0609	脆弱性在Google Chrome的动画	8.8	至关重要的
cve - 2022 - 42827	在iPadOS界外写问题	7.8	至关重要的
cve - 2022 - 40684	Fortinet FortiOS认证绕过	9.8	至关重要的
cve - 2022 - 22960	特权升级——VMWare	7.8	高
cve - 2022 - 20699	多个漏洞在思科小型企业RV160、RV260 RV340, RV345系列路由器	9.8	高

*本研究出版的的一天

来源:站得住脚的研究,2023年4月

下面我们提供仔细看看如何时间为每个上面的cf。

cve - 2022 - 1134 cve - 2022 - 1134是一种困惑在V8中,所使用的Javascript引擎Google Chrome。对于这个漏洞,站得住脚的情报发现了第一块3月29日,2022年,最早的Nessus插件提供覆盖在同一天。漏洞细节完全披露NVD 100天后,2022年7月23日。

cve - 2022 - 1364 cve - 2022 - 1364是一种困惑在V8中,所使用的Javascript引擎Google Chrome。对于这个漏洞,站得住脚的情报发现了第一块4月14日,2022年,最早的Nessus插件提供覆盖在同一天。漏洞细节完全披露NVD 100天后,7月26日,2022年。

cve - 2022 - 1096 cve - 2022 - 1096是一种困惑在V8中,所使用的Javascript引擎Google Chrome。这个漏洞,站得住脚的情报发现了第一块1月18日,2022年,并提供了最早的Nessus插件报道3月25日,2022年。漏洞细节完全披露NVD 186天后,2022年7月23日。对于这个漏洞,我们观察到至少一个利用可用3月28日,2022年。

cve - 2022 - 0609 cve - 2022 - 0609是一个弱点在Google Chrome的动画。对于这个漏洞,站得住脚的情报发现了第一块2月14日2022年,最早的Nessus插件提供覆盖在同一天。漏洞细节完全披露NVD 50天后,2022年4月4日。对于这个漏洞,我们观察到至少一个利用可用2月15日,2022年。

cve - 2022 - 42827 cve - 2022 - 42827是一个界外写问题在iPadOS 15.7.1, iOS 16.1和iPadOS 16。站得住脚的情报发现了第一块10月25日,2022年,并提供了最早的Nessus插件报道10月27日,2022年。漏洞细节完全披露NVD后5天,2022年11月1日。对于这个漏洞,至少一个利用已经观察到10月25日,2022年。

cve - 2022 - 40684 cve - 2022 - 40684是一个认证绕过漏洞Fortinet FortiOS版本中使用一个替代路径7.2.0 - 7.2.1和7.0.0 7.0.6 7.0.0——7.0.6 7.2.0 FortiProxy版本和版本。站得住脚的情报发现了第一块10月7日,2022年,最早的Nessus插件提供覆盖在同一天。漏洞完全披露细节NVD 11天后,2022年11月18日。对于这个漏洞,至少一个利用已经观察到10月10日,2022年。

cve - 2022 - 22960 cve - 2022 - 22960是一个特权升级漏洞VMware的工作区中访问、身份管理器和vRealize自动化。站得住脚的情报发现了第一块4月6日,2022年,最早的Nessus插件提供覆盖在同一天。漏洞完全披露细节NVD七天后,2022年4月13日。对于这个漏洞,至少一个利用观察4月15日,2022年。

cve - 2022 - 20699 cve - 2022 - 22960是一个特权升级漏洞VMware的工作区中访问、身份管理器和vRealize自动化。站得住脚的情报发现了第一块4月6日,2022年,最早的Nessus插件提供覆盖在同一天。漏洞完全披露细节NVD七天后,2022年4月13日。对于这个漏洞,至少一个利用观察4月15日,2022年。

结论

这个博客系列展示,安全团队淹没每年有成千上万的漏洞。而框架和系统实施帮助优先考虑补救的努力是不可或缺的工具,他们经常在能见度留下缝隙,可能被攻击者利用。本报告中讨论的站得住脚的冲程体积功能提供额外的指导,帮助安全专家识别漏洞先找到并修复。但这只是开始。

预防网络安全策略需要能见度不仅存在的漏洞,但也可能发生的错误配置在云资产和身份管理系统,整个组织存在的未知的web应用程序的攻击表面和非it资产,如操作技术和物联网设备。预防安全工具的孤立性质很难安全组织来分析上述背景下为了获得网络风险的客观看法。

在站得住脚的,我们相信预防网络安全需要一种新的方法。我们设想未来脆弱性管理和其他预防网络安全工具在我们所说的一种新范式风险管理。虽然漏洞管理最佳实践的基础,一个风险管理计划超越古典漏洞细节(例如,描述和CVSS分数)提供的常用公共脆弱性来源为安全团队提供重要的上下文关于攻击路径,用户权限,云配置和web应用程序,这样他们就可以获得一个连续和完整的攻击表面发生了什么。只有通过检查的深度和广度脆弱性信息上下文的其他元素攻击表面可以组织希望创建一个预防性安全战略,有效地降低了网络风险。

站得住脚的插件列表的cf分析在这项研究中可以找到在这里。

关于思想的差距系列

这个由四部分组成思想的差距安全专家博客系列是一种宝贵的资源,概述了观察到的脆弱性景观重点漏洞站得住脚的研究发现之前出现在(NVD的详细信息。本系列源于我们自己的数据集的分析,其中最广泛和丰富的数据集的行业。这些年来,我们收集了一个广泛的知识漏洞,沉浸与站得住脚的Research-specific见解和报告功能。

在本系列的其他博客:

• 思想的差距:等待NVD给您的组织带来风险
• 思想的差距:现有的脆弱性框架如何离开一个组织暴露
• 思想的差距:仔细看看漏洞公布2022年

了解更多

阅读博客很多漏洞如此之少时间:0,“零点击”到当前脆弱的风景

从我们的网络曝光警报:

• cve - 2022 - 40684认证绕过FortiOS和FortiProxy至关重要
• cve - 2022 - 22972: VMware补丁额外工作空间一个访问漏洞(vmsa - 2022 - 0014)
• cve cve - 2022 - 20699 - 2022 - 20700, cve - 2022 - 20708:思科小型企业RV系列路由器的关键缺陷

• 下载2022年的威胁环境报告
• 阅读博客,风险管理:降低风险在现代攻击表面
• 查看网络研讨会,分析师圆桌会议:风险管理如何帮助你获得可见性、防止攻击,和风险沟通更好的决策