供应商忽视虚拟设备安全，将用户处于危险之中

发布时间：2021-11-20 10:10 所属栏目：40 来源：互联网

导读：根据ORCA安全性的新研究，所有形状和大小的组织都留下了虚拟家电漏洞的供应商失败的风险，这揭示了虚拟家电安全的主要差距。在4月20日和5月2020年的研究中，ORCA安全概率从540个软件供应商探测了2,218个虚拟设备图像，并揭示了401,751个漏洞，不到8％的虚拟

根据ORCA安全性的新研究，所有形状和大小的组织都留下了虚拟家电漏洞的供应商失败的风险，这揭示了虚拟家电安全的主要差距。

在4月20日和5月2020年的研究中，ORCA安全概率从540个软件供应商探测了2,218个虚拟设备图像，并揭示了401,751个漏洞，不到8％的虚拟设备，无众所周知的漏洞，不到5％漏洞和在过时或不支持的操作系统（OS）上运行。

如果恶意演员跌跌撞撞，共有17个漏洞都是至关重要的，并且可能会产生严重的影响。其中许多人都是众所周知的，很容易利用漏洞，包括Eternalblue，Dejablue，蓝色，脏污，嗡嗡声。

“客户假设虚拟电器免于安全风险，但我们发现猖獗的漏洞和未欣赏的操作系统的令人不安的组合，”Orca安全的首席执行官和联合创始人Avi Shua表示。

“ORCA安全2020虚拟设备状态安全报告显示组织必须警惕测试和关闭任何漏洞间隙，并且软件行业仍有很长的路要防保护其客户。”

Orca的研究人员表示，除了漏洞中，许多虚拟设备都受到庞大的年龄和缺乏更新的风险，许多供应商未能达到生命结束后未能更新或停止虚拟设备。

它说，只有14％的扫描虚拟家电图像已经在前三个月内更新，过去一年尚未更新47％，5％被忽视至少三年，11％的运行已达到的OSS生命尽头。

最具安全意识的软件供应商，在ORCA的矩阵上实现了“示范”分数，是VMware，NVIDIA，Hashicorp，BeyiteTrust，Pulse Secure，Trend Micro，Barracuda网络和VerseC。一些最高的故障包括来自CA Technologies，Firemon，A10网络，CloudFlare，Micro Focus和Software AG的产品。

ORCA表示，由于风险的警报供应商，总共更新了287个产品，并且完全从流通中删除了53个产品，其中已在报告的漏洞中达到37,000以下。

由于ORCA在其研究期间进行的披露，戴尔EMC为CloudBoost虚拟版发出了一个关键的安全咨询，思科推动了15个问题，IBM更新或删除了一周内的三个虚拟设备，Zoho更新了其产品的近一半， Qualys终于更新了一个包含它在2018年发现自己的漏洞的产品。

此外，CloudFlare，IBM，Kaspersky Labs，Oracle，Splunk和Symantec都删除了许多易受攻击的产品，以及一个供应商，Hailbytes，花时间在被联系后录制个性化的谢谢视频。

然而，ORCA还透露，在32起案件中，供应商表示，它取决于客户补丁虚拟设备，其中24个声称他们的虚拟家电漏洞并不是利用，他们不需要采取任何行动。其中一些甚至威胁着法律诉讼 - 这些它没有名称 - 因此，相当数量的产品仍然脆弱。

（编辑：ASP站长网）