3.5倍！组织修补 CISA KEV 列表中的漏洞比其他漏洞要快

therecord 网站消息，研究人员发现，联邦政府维护的已知被利用漏洞（KEV）目录对联邦政府内外的组织机构产生了实质性的影响。

网络安全和基础设施安全局（CISA）的 KEV 目录已经运行了近三年，早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。对此，网络安全扫描公司Bitsight 的专家提出了一个问题：”与不在 KEV 目录中的漏洞相比，企业修复 KEV 的速度是否更快？“

答案明确是「是」。根据 Bitsight 的研究人员对 100 多万个实体（包括公司、学校、地方政府等）进行漏洞扫描的数据显示，KEV 所列漏洞的修复时间中位数为 174 天，而非 KEV 所列漏洞的修复时间为 621 天。换句话说，修补目录中列出的漏洞所需的时间中位数是非 KEV 漏洞的 3.5 倍。

该公司证实，KEV 列表通过帮助公司和地方政府从大量漏洞中筛选出真正重要的漏洞产生了实际效果。2023 年，在 Bitsight 观察到的所有组织中，有 35% 的组织处理过 KEV ，其中绝大多数的组织有一个以上的 KEV。

漏洞修复时间

每个添加到 KEV 列表中的漏洞都附带一个截止日期，该日期根据漏洞的严重程度和被定位的紧急性而有所不同。这个截止日期正式适用于联邦机构，但对于美国政府之外的组织，它可以作为漏洞严重程度的一个指南。

Bitsight 发现，受 CISA 约束性指令监管的联邦民事机构比其他组织更有可能在截止日期前解决 KEV 漏洞，概率高出 63% 。而大约 40% 的组织（即那些不必遵守 CISA 规定的联邦政府以外的组织）能够在 CISA 的截止日期前解决漏洞。

报告指出，从 KEV 列表创建至今，给予漏洞修补的截止日期发生了巨大变化。该列表首次创建时，CISA 通常给联邦民事机构一周、两周或六个月的时间来修补漏洞。但到 2022 年春季，他们将截止日期调整为三周。直到最近几个月，又重新规定了一周的期限。

为什么会发生这种变化？早期的这些漏洞通常在添加到 KEV 目录时就已经存在了，考虑到这种情况，CISA 给组织时间解决问题似乎是合理的。

截止日期还可能受漏洞是否被勒索软件使用的影响：一周内需要解决的漏洞比其他漏洞更容易被用于勒索软件，因为这些漏洞非常紧急，如果黑客在组织机构系统上利用它们，可能会造成重大损失。

科技公司是最快解决漏洞的公司之一，部分原因是它们在 Bitsight 列出的暴露漏洞最多的行业中名列榜首。

在 Bitsight 追踪的行业中，教育机构和地方政府的情况最为糟糕，这两个行业受 KEV 列表漏洞影响较大，修复时间较慢。而保险公司、信用社和工程公司受 KEV 列表漏洞影响的程度相对较低，通常修复问题的速度也较快。

列表上的新漏洞

上周，CISA 在 KEV 列表中增加了两个漏洞。其中被命名为 CVE-2024-29988 的漏洞是微软在四月份发布的 “补丁星期二”（Patch Tuesday）中公布的，该漏洞会影响微软产品中包含的云端反钓鱼和反恶意软件组件 SmartScreen。

Immersive Labs 的首席网络安全工程师本·麦卡锡（Ben McCarthy）表示，SmartScreen 是一个大型弹出窗口，会警告用户有关运行未知文件的情况，它通常是网络钓鱼攻击的终端，用于吓唬用户，让他们不敢继续打开文件。

他补充说，该漏洞在使用文件下载作为获取初始访问权限的攻击技术的攻击者中很流行，因为他们想找到绕过 SmartScreen 等安全功能的方法。

CISA 指出，在攻击过程中，该漏洞可以与 CVE-2024-21412 链接。一位发现 CVE-2024-21412 和 CVE-2024-29988 漏洞的零日计划研究人员表示，通过直接手段（电子邮件和直接消息）进行的社会工程攻击需要某种用户交互，这是这类漏洞典型的利用途径。

CVE-2024-21412 被用作 DarkGate 活动的一部分，该活动利用假冒苹果 iTunes、Notion、英伟达（NVIDIA）等公司的虚假软件安装程序。Microsoft Defender SmartScreen 本应为终端用户提供额外保护，防止网络钓鱼和恶意网站，但由于这些漏洞绕过了安全功能，导致终端用户感染恶意软件。

上个月，《Bleeping Computer》报道称，一个出于经济动机的黑客组织利用该漏洞攻击了外汇交易论坛和股票交易 Telegram 频道。

参考链接：https://therecord.media/kev-list-vulnerabilities-patched-significantly-faster