“隐形”的企业安全盲区：虚拟设备安全

发布时间：2020-11-02 13:20:47来源：安全牛

点击蓝字关注我们

设备是虚拟的，但威胁却是真实的，而且已经兵临城下。

对于软件（包括网络安全）厂商而言，虚拟设备是一种廉价且高效的交付方式，很容易分发和部署在客户的公共和私有云环境中。

但是，根据OrcaSecurity最新发布的《2020年虚拟设备安全报告》，随着各行业数字化转型加速向云迁移，虚拟设备安全防护已经脱节滞后。

该报告调查了企业虚拟设备安全性方面的主要问题，发现大量已知可利用并且可修复的漏洞正在快速传播。

为了帮助云安全行业提升防护并降低客户风险，报告对来自540个软件供应商的2,218个虚拟设备映像进行了分析，分析了已知漏洞和其他风险，以提供客观的评分和排名。

OrcaSecurity首席执行官AviShua表示：客户认为虚拟设备没有安全风险，但是我们发现，漏洞泛滥和操作系统安全现状是令人不安的。

报告显示，企业在测试和管理虚拟设备漏洞方面还存在巨大差距，同时软件行业在保护其客户方面也还有很长的路要走。

已知漏洞泛滥

调查发现，大多数软件供应商都在分发含有已知漏洞，以及可利用和可修复的安全漏洞的虚拟设备。

研究发现，只有不到8％的虚拟设备（177）没有已知漏洞。在540个软件供应商的2,218个虚拟设备中，总共发现了401,571个漏洞。

报告揭示了17个关键漏洞，如果虚拟设备存在此类未修补漏洞，则被认为具有严重影响。其中一些知名且易于利用的漏洞包括：

EternalBlue

DejaBlue

BlueKeep

DirtyCOW

Heartbleed

如下图所示，超过一半的经过测试的虚拟设备低于平均等级，其中56％获得C或更低的等级评分，有15％的虚拟设备只获得了F级评分（未通过测试）。（F为15.1％、D为16.1％、C为25％）。

上述调查结果发布后，对相关软件供应商的287个安全更新进行了重新测试，发现这些虚拟设备的平均等级从B提高到了A。

过时的虚拟设备会增加风险

随着时间的流逝和缺乏更新，多个虚拟设备面临安全风险。研究发现，大多数供应商并未更新或终止其过时或报废（EOL）的产品。

研究发现，在过去三个月中，只有14％（312）个虚拟设备镜像文件获得更新。

同时，有47％（1,049）在去年没有更新；至少有5％（110）的问题被忽略了三年，而有11％（243）的版本或EOL操作系统已运行。

虽然，一些过时的虚拟设备已在初始测试后进行了更新。例如，RedisLabs的产品由于过时的操作系统和许多漏洞而得分为F，但现在更新后得分为A+。

一线希望

根据协调漏洞披露的原则，研究人员直接向每个供应商发送电子邮件，敦促其解决安全问题。幸运的是，云安全厂商们的态度和响应速度非常积极。

截至报告发布，多家知名厂商已经通过修补或下架虚拟设备消除了401571个漏洞中的36259个。其中的一些关键更正或更新包括：

DellEMC针对其CloudBoost虚拟版发布了重要的安全公告；

思科发布了针对15个安全问题的修复程序，这些安全问题是在研究中扫描的其中一个虚拟设备中发现的；

IBM在一周内更新或删除了三个虚拟设备；

赛门铁克下架了三项得分较低的产品；

Splunk、Oracle、IBM、卡巴斯基实验室和Cloudflare也下架了产品；

Zoho更新了一半的最脆弱产品；

Qualys更新了一个有26个月历史的虚拟设备，其中包括Qualys本身在2018年发现并报告的用户枚举漏洞。

参考资料

2020年虚拟设备安全现状报告：

https://orca.security/wp-content/uploads/The-Orca-Security-2020-State-of-Virtual-Appliance-Security.pdf

相关阅读

合作电话：18311333376合作微信：aqniu001投稿邮箱：editor@aqniu.com