2023年上半年最关键的漏洞
关键要点
安全团队面临管理漏洞的压力,无法修补所有漏洞,需优先处理对组织影响最大的补丁。Rezilion发布了2023年上半年六到七个最重要的漏洞。安全团队应特别关注Apache Superset、PaperCut、MOVEit和ChatGPT的漏洞。某些漏洞的严重程度在后期经过重新评估后可能会降低,需谨慎对待。安全措施的建立对于确保新技术如ChatGPT的安全至关重要。如今,安全团队因为管理漏洞的工作量巨大,已经无法修补所有漏洞。在技能缺口的时代,人员不足的安全团队需要优先处理对其组织最有意义的补丁。Rezilion于6月8日发布了一篇博文,详细介绍了2023年上半年六到七个最重要的漏洞。研究表明,确定应优先关注哪些漏洞并不简单,因为这与业务类型、技术组织及员工使用应用程序的方式密切相关。Rezilion表示,安全团队应该优先关注最近披露的Apache Superset、PaperCut、MOVEit和ChatGPT漏洞。
蘑菇加速器Rezilion的漏洞研究主管Yotam Perkal指出,由于每年有超过2万项漏洞被报告,且实际上只有不到5的漏洞在现实世界中被利用,安全团队必须优先处理重要的补丁。他提到:“有时漏洞在初期会受到大量关注,且严重性分数很高,但后来人们会意识到它们并没有那么严重。安全团队需要关注能帮助他们更好地优先处理漏洞的信息源和流程。”
以下是Rezilion识别出的一些关键漏洞:
漏洞名称CVE编号JsonWebTokenCVE202223529ChatGPTCVE202328858Apache SupersetCVE202327524PaperCut NG/MFCVE202327350Fortinet FortiOSCVE202241328Adobe ColdFusionCVE202326360MOVEit漏洞CVE202334362Perkal举了一个情况,JsonWebToken漏洞最初被评为98的高CVSS分数,但经过安全研究人员的详细审查后,其严重性被重新评估并最终撤回。这凸显了严谨分析和强大社区反馈在确保评估和缓解措施准确性方面的重要性。
针对ChatGPT设置适当的安全控制
虽然ChatGPT漏洞的CVSS得分仅为37,Perkal认为,安全团队仍应对此关注,因为组织刚刚开始使用ChatGPT,大多数尚未建立适当的安全控制。他表示,在ChatGPT周围,安全团队必须关注他们为这一新技术建立的控制和流程。“人们不想错过机会,急于将其整合到组织中。但它还不成熟,特别是它周围的生态系统、基于它的所有开源应用程序以及插件都非常新。因此,人们需要对此保持谨慎,不要急于将其整合到软件开发生命周期中,使用前需要仔细检查这些应用程序。”
对于列出最“重要”漏洞的挑战,Vulcan Cyber的高级技术工程师Mike Parkin表示,研究人员并不总是对这些漏洞如何评分达成一致。这增加了难度。例如,我们如何评估漏洞的相对严重性与目标的数量之间的关系?对少量目标造成的重大漏洞是否比影响数万人的小问题更严重?他说:“这个列表中的问题在于‘是否应该对此关注’完全取决于你是否是潜在目标。如果你使用某些
