近期美國國土安全部(CISA)發布資安公告,指出駭客利用Adobe ColdFusion 漏洞 CVE-2023-2636,入侵了安裝已『終止支援』的Adobe ColdFusion 版本的聯邦政府機構伺服器。CVE-2023-2636為Adobe於3月份公告的漏洞,遠端攻擊者能利用該漏洞執行程式代碼,該漏洞影響版本為2021、2018、2016與2011,然而2016與2011已過『終止支援日』,因此修補版本僅針對2021與2018。CISCO於今年初警告多款已結束生命周期(EoL)的VPN路由器,包括RV016、RV042、RV042G和RV082存在身份驗證漏洞。攻擊者可以利用漏洞繞過身份驗證,取得底層作業系統的根存取權限,這代表駭客能更改系統設定、安裝或移除軟體,以及存取任何文件或資源。官方提到,已過產品生命週期的產品沒有修補版本也不會發布修補版本,呼籲用戶盡快更換產品。
上述例子皆是由『終止支援』產品的作為侵入伺服器的管道,那麼,您知道什麼是『終止支援』嗎?您了解『過了終止支援日仍使用該產品的風險』嗎?
終止支援日是什麼?
我們都知道食品有有效期限,當超過有效期限,代表廠商不再保證該期限過後食品的安全性及有效性。而『終止支援日』就好比食品的有效期限,在終止支援日到期之後,廠商將停止版本更新、問題修補與漏洞支援等一切維護與服務,亦即廠商不再確保產品的安全性與有效性了。以Adobe 為例,其『終止支援日』代表支援終止後將不再提供新的安全性更新、非安全性更新與技術內容更新等。
使用終止支援的產品,帶來的資安風險是什麼呢?
受駭機率大幅增加
由於廠商提供的安全更新,通常包含了對新型威脅的防禦機制,而缺乏安全更新將使企業無法及時應對新的攻擊威脅,短期間也許可以透過一些技術來處理,但是當問題是涉及到核心根本時也是束手無策。對駭客而言,防護較弱的系統是理想的攻擊目標,在終止支援的產品無法進行修補與尋求支援的情況下,駭客就能輕易利用已知的漏洞進行攻擊,這大大增加企業被駭客攻擊的可能性。『終止支援』的產品就好比就如同船上無法修補的漏洞,即便其他部分堅固無比,這個無法修補的漏洞,可能為整艘船帶來沈船危機!
例如新勒索軟體組織『BlackDogs 2023』就是透過漏洞CVE-2023-2636侵入安裝已『終止支援』的 Adobe ColdFusion 的伺服器版本,再以Adobe ColdFusion 伺服器為跳板,進入目標企業的Windows伺服器並部署勒索軟體,一旦被勒索攻擊成功的代價將是支付贖金30,000美金來復原「遭竊並加密」的企業資料!
影響組織可靠性
當產品終止支援日起,也意味著許多第三方軟體廠商將不再繼續跟進支援及發展,除了商業因素的考量外,也要避免造成自家商品安全及穩定性的影響。
以企業最常使用的Windows系統為例,例如Win XP、Win 7、Win Server 2003及2008等已經終止支援(EOS / EOL)的版本,不僅許多原本可以安裝的應用程式軟體也會陸續宣布不再支援,甚至是作為主機資安防護的軟體也同樣不會允諾保護效果及更新安全資料,關鍵因素在於多數的軟體廠商及資安廠商都無法保證不會受到系統平台存在的功能缺陷及漏洞問題影響,而少數宣稱能繼續支援的廠商也只能做到有限的功能服務,無法獲得有保障可靠的支援,逐漸被孤立在特定封閉環境中。
降低資安合規性
由於資安攻擊肆虐全球,漏洞利用問題嚴重,供應鏈資安更是日益受到關注,因此許多法規要求組織或是供應商保持其系統和軟體處於最新狀態,以確保組織本身的安全性,避免受到供應鏈資安影響。例如ISO-27001規範稽核、供應鏈及供應商安全管理、資安法等等,都更加謹慎針對組織單位存在使用的『已終止支援(EOS / EOL』系統設備要求稽查。因此使用終止支援的產品,可能使組織面臨合規性問題,甚至引起法律責任或是財物損害。
為什麼企業不願意汰換已終止支援的產品呢?
成本與效益考量:
許多企業因業務開發的應用程式可能是依據特定框架或是模組進行開發,這些在新系統中可能已不適用,需進行修改或是重新開發。而當企業評估過保系統的商業利益以及升級的成本時,往往選擇過保系統,以確保業務能持續進行。此外,由於汰換過保產品或是升系統,通常包含軟硬體購買成本、新設備學習成本以及設備搬遷費用,這對預算有限的中小型企業來說是一項負擔。
對穩定性的擔心:
企業業面對產品汰換時,往往擔心新產品的穩定性,因此當設備仍在良好運作良好時,尤其是過往軟體賣斷的模式,即便停止支援了仍能維持正常運作,導致許多企業認為「產品功能沒有問題,為什麼要更換呢?」。
此外,當企業使用穩定的軟硬體設備支援業務,並且員工對系統操作相當熟悉。由於汰換設備員工可能需要重新學習並習慣系統,企業會擔心對系統操作的不穩定性會想影業務的執行。
僥倖的心態:
有些企業可能因為從未遭遇資安事件,而抱持著僥倖的心態,認為沒那麼倒霉,或是認為系統僅使用於內網,外部人員難以連線,相當安全,而不願汰換過期產品。有些企業甚至抱持著『這麼多人都還在用,廠商會展延支援吧?』的拖延症心態,不急著汰換過期產品。
不是不願意,而是不知道
有些企業並非不願意汰換設備,而是不知道產品已過期。設備管理人員可能缺乏時間或是對潛在風險的認知不足,疏於追蹤產品最新資訊,抱持著『反正有更新會跳通知,我都有按更新』就足夠了的想法。然而有許多單機版軟體並未有產品更新提示,因此管理者往往疏忽了定期檢查與更新的重要性。
因應措施
關心漏洞利用資訊
企業應關心漏洞公告以及其利用手法,倘若出現新的漏洞公告, 應儘速盤點公司系統與應用程式,確認是否受到漏洞影響,並盤點其影響範圍。確保對新攻擊手法的了解,有助於提高防護與應對能力。
留意產品資訊
企業在管理資產時,除了做盤點資產可用性,也應留意產品資訊、漏洞與終止支援等公告,確保公司產品的安全性有一定的保障。
擬定汰換計畫
在獲知支援終止日後,應制定汰換計畫,包
含制定汰換時間表,擬定過渡方案及風險評估,以及預留足夠預算等,以確保順利更換至新的解決方案,保障業務營運的運作。即便廠商提供支援的延長,企業仍應盡早採取行動,確保系統的安全性和可靠性。
加強內部訓練
透過定期教育訓練,提升組織內部人員對資安風險的認識。培養員工識別過時軟體和系統可能帶來的風險,並強調更新以及汰換過期產品的重要性。
結語
新的漏洞利用攻擊手法曾出不窮,終止支援的產品猶如資安風險放大器。此外,已終止支援的產品將無法使用創新的技術或是優化的性能,這可能限制組織的業務效能與發展機會。因此使用已終止的產品,企業除了增加資安風險,也可能降低組織營運效能,企業應更加謹慎應對。
Kommentare