За неделю после выхода патча количество уязвимых сервисов снизилось всего на 5,1%.
В начале марта нынешнего года SecurityLab писал об уязвимости в протоколе SSLv2, позволяющей осуществить новый тип атаки на HTTPS – DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). Несмотря на резонанс, вызванный данным известием, сотни облачных сервисов по-прежнему находятся под угрозой атаки. По оценкам компании Skyhigh Cloud Security Labs, 98,9% организаций используют по крайней мере один облачный сервис, уязвимый к DROWN.
Как указывается в отчете специалистов, за последнюю неделю количество уязвимых сервисов снизилось всего на 5,1% (с 653 до 620). Данный показатель установки патчей значительно ниже по сравнению с другими подобными уязвимостями. К примеру, в первую неделю после выпуска корректирующих обновлений, устраняющих Heartbleed, число подверженных данной проблеме облачных сервисов сократилось на 92,7%.
Согласно результатам исследования компании Netskope, 676 SaaS-приложений (Software-as-a-Service) подвержены проблеме DROWN. Наиболее уязвимыми являются облачные хранилища, а также решения для работы с клиентами и управления персоналом.
По словам технического директора Netskope Рави Балупари (Ravi Balupari), компания осуществляет мониторинг с 7 марта нынешнего года. Ежедневно специалисты фиксируют снижение числа уязвимых приложений приблизительно на 10%. Как отметил эксперт в беседе с журналистами портала ThreatPost, медленные темпы установки патчей могут быть связаны со сложностью эксплуатации DROWN по сравнению с Heartbleed. Согласно оценкам аналитиков, со временем уровень SaaS-решений, уязвимых к DROWN, снизится до показателей приложений по-прежнему уязвимых к атакам FREAK (73), Logjam (42) и Poodle (7).
Сбалансированная диета для серого вещества