供应商忽略虚拟设备安全,将用户处于危险之中
根据ORCA安全性的新研究,所有形状和大小的组织都留下了虚拟家电漏洞的供应商失败的风险,这揭示了虚拟家电安全的主要差距。
在4月20日和5月2020年的研究中,ORCA安全概率从540个软件供应商探测了2,218个虚拟设备图像,并揭示了401,751个漏洞,不到8%的虚拟设备,无众所周知的漏洞,不到5%漏洞和在过时或不支持的操作系统(OS)上运行。
如果恶意演员跌跌撞撞,共有17个漏洞都是至关重要的,并且可能会产生严重的影响。其中许多人都是众所周知的,很容易利用漏洞,包括Eternalblue,Dejablue,蓝色,脏污,嗡嗡声。
“客户假设虚拟电器免于安全风险,但我们发现猖獗的漏洞和未欣赏的操作系统的令人不安的组合,”Orca安全的首席执行官和联合创始人Avi Shua表示。
“ORCA安全2020虚拟设备状态安全报告显示组织必须警惕测试和关闭任何漏洞间隙,并且软件行业仍有很长的路要防保护其客户。”
Orca的研究人员表示,除了漏洞中,许多虚拟设备都受到庞大的年龄和缺乏更新的风险,许多供应商未能达到生命结束后未能更新或停止虚拟设备。
它说,只有14%的扫描虚拟家电图像已经在前三个月内更新,过去一年尚未更新47%,5%被忽视至少三年,11%的运行已达到的OSS生命尽头。
最具安全意识的软件供应商,在ORCA的矩阵上实现了“示范”分数,是VMware,NVIDIA,Hashicorp,BeyiteTrust,Pulse Secure,Trend Micro,Barracuda网络和VerseC。一些最高的故障包括来自CA Technologies,Firemon,A10网络,CloudFlare,Micro Focus和Software AG的产品。
ORCA表示,由于风险的警报供应商,总共更新了287个产品,并且完全从流通中删除了53个产品,其中已在报告的漏洞中达到37,000以下。
由于ORCA在其研究期间进行的披露,戴尔EMC为CloudBoost虚拟版发出了一个关键的安全咨询,思科推动了15个问题,IBM更新或删除了一周内的三个虚拟设备,Zoho更新了其产品的近一半, Qualys终于更新了一个包含它在2018年发现自己的漏洞的产品。
此外,CloudFlare,IBM,Kaspersky Labs,Oracle,Splunk和Symantec都删除了许多易受攻击的产品,以及一个供应商,Hailbytes,花时间在被联系后录制个性化的谢谢视频。
然而,ORCA还透露,在32起案件中,供应商表示,它取决于客户补丁虚拟设备,其中24个声称他们的虚拟家电漏洞并不是利用,他们不需要采取任何行动。其中一些甚至威胁着法律诉讼 - 这些它没有名称 - 因此,相当数量的产品仍然脆弱。
ORCA表示,对于报告调查结果相关的企业安全团队,即使供应商不适当支持虚拟家电安全,他们也可以采取措施。
首先,它说,适当的资产管理可以提供安全团队对部署在其遗产的虚拟设备的理解,这意味着这必须包括在公共云实例中持有的内部部署资产和那些。尤其是在大流行期间,它也很重要 - 特别是在大流行期间 - 因为它非常容易,如果技术,最终用户可以访问和部署自己的虚拟设备。
其次,漏洞管理工具应用于发现虚拟设备并扫描它们以获取已知漏洞。Orca表示,重要的是这些工具扫描了所有设备,因为您不能假设他们可以安全地用完盒子。
第三,漏洞管理过程需要适应最严重的漏洞优先考虑 - 无论是通过修复它们还是在必要时停止使用产品。
最后,ORCA推荐用户与供应商合作伙伴打开,接近他们的沟通线,并了解他们的支持流程以及它们如何解决泄漏披露的漏洞,如果供应商不衡量,则不会害怕寻求替代方案。