وقد حظيت الانتهاكات التي تنطوي على التصيد الاحتيالي وتسوية بيانات الاعتماد بالكثير من الاهتمام في السنوات الأخيرة بسبب عدد المرات التي استخدمت فيها الجهات الفاعلة في مجال التهديد هذه التكتيكات في تنفيذ الهجمات المستهدفة والانتهازية. لكن هذا لا يعني أن مؤسسات المؤسسات يمكنها تقليل تركيزها على تصحيح الثغرات الأمنية قليلاً.
حدد تقرير صادر عن كاسبرسكي هذا الأسبوع المزيد من الاختراقات الأولية في العام الماضي الناتجة عن استغلال نقاط الضعف في التطبيقات التي تواجه الإنترنت مقارنة بالانتهاكات التي تنطوي على رسائل بريد إلكتروني ضارة وحسابات مخترقة الجمع بين. وتشير البيانات التي جمعتها الشركة خلال الربع الثاني من عام 2022 إلى أن الاتجاه نفسه قد يحدث هذا العام أيضًا.
تحليل كاسبيرسكي لعام 2021 وأظهرت بيانات الاستجابة للحوادث أن الانتهاكات التي تنطوي على استغلال الثغرات الأمنية ارتفعت من 31.5% من جميع الحوادث في عام 2020 إلى 53.6% في عام 2021. وخلال الفترة نفسها، انخفضت الهجمات المرتبطة باستخدام الحسابات المخترقة للوصول الأولي من 31.6% في عام 2020 إلى 17.9 ٪ العام الماضي. انخفضت عمليات الاختراق الأولية الناتجة عن رسائل البريد الإلكتروني التصيدية من 23.7% إلى 14.3% خلال نفس الفترة.
عيوب خادم Exchange تغذي جنون الاستغلال
وأرجعت كاسبرسكي الزيادة في نشاط الاستغلال في العام الماضي إلى أنها مرتبطة على الأرجح بنقاط الضعف الحرجة المتعددة في Exchange Server التي كشفت عنها Microsoft، بما في ذلك مجموعة من أربعة أيام صفر في مارس 2021 تُعرف باسم عيوب ProxyLogon (CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، CVE-2021-27065). عند ربطهما ببعضهما البعض، سمحا للمهاجمين بالحصول على تحكم كامل عن بعد في خوادم Exchange المحلية.
وسرعان ما استغل المهاجمون - الذين شملوا عصابات إجرامية منظمة وجماعات ترعاها الدولة من الصين - عشرات الآلاف من أنظمة Exchange Server الضعيفة وأسقطوا أغلفة الويب عليها قبل أن تتمكن Microsoft من إصدار تصحيح للعيوب. أثارت نقاط الضعف قلقًا كبيرًا بسبب انتشارها وخطورتها. حتى أنهم دفعوا وزارة العدل الأمريكية إلى السماح لمكتب التحقيقات الفيدرالي باتخاذ خطوة غير مسبوقة إزالة قذائف ProxyLogon Web بشكل استباقي من خوادم تابعة لمئات المؤسسات — في معظم الحالات، دون أي إشعار.
كما كان الدافع وراء نشاط الاستغلال في عام 2021 هو ثلاثي آخر من ثغرات Exchange Server المسمى بشكل جماعي ProxyShell (CVE-2021-31207، CVE-2021-34473، CVE-2021-34523) التي استخدمها المهاجمون على نطاق واسع لإسقاط برامج الفدية وفي هجمات اختراق البريد الإلكتروني التجاري (BEC).
وبعد مرور أكثر من عام، لا تزال الثغرات الأمنية في ProxyLogon وProxyShell تشكل أهدافًا لنشاط الاستغلال المكثف، كما يقول كونستانتين سابرونوف، رئيس فريق الاستجابة للطوارئ العالمية في Kaspersky. ومن أخطر هذه العيوب (CVE-2021-26855) كان أيضًا الأكثر استهدافًا. لاحظت كاسبرسكي أن الثغرة الأمنية - وهي جزء من مجموعة ProxyLogon - تم استغلالها في 22.7% من جميع الحوادث التي تنطوي على عمليات استغلال الثغرات الأمنية التي استجابت لها في عام 2021، ولا يزال الخلل هو المفضل لدى المهاجمين هذا العام أيضًا، وفقًا لسابرونوف.
من المحتمل أن يظهر اتجاه الاستغلال نفسه في عام 2022
على الرغم من ظهور العديد من نقاط الضعف الخطيرة هذا العام - بما في ذلك ثغرة أمنية في Apache Log4j في كل مكان (CVE-2021-44228) — يقول سابرونوف إن الثغرات الأكثر استغلالًا في عام 2021 تظل منتشرة جدًا في عام 2022 أيضًا، حتى بما يتجاوز أخطاء خادم Exchange. على سبيل المثال، حددت Kaspersky خللًا في محرك متصفح Microsoft MSHTML (CVE-2021-40444، الذي تم تصحيحه في سبتمبر الماضي) باعتباره الخلل الأكثر خطورة الضعف الهجومي الشديد في الربع الثاني من عام 2022.
ويشير سابرونوف إلى أن "الثغرات الأمنية في البرامج الشائعة مثل MS Exchange Server ومكتبة Log4j أدت إلى عدد كبير من الهجمات". "نصيحتنا لعملاء المؤسسات هي إيلاء اهتمام وثيق لقضايا إدارة التصحيح."
حان الوقت لتحديد أولويات التصحيح
ولاحظ آخرون ارتفاعًا مماثلًا في نشاط استغلال الثغرات الأمنية. في أبريل، لاحظ باحثون من فريق أبحاث التهديدات في الوحدة 42 التابع لشركة Palo Alto Networks كيف أن 31%، أو ما يقرب من واحد من كل ثلاث حوادث، لقد قاموا بتحليل حتى ذلك الوقت في عام 2022 بشأن عمليات استغلال الثغرات الأمنية. وفي أكثر من نصف هذه الهجمات (55%)، استهدفت جهات التهديد ProxyShell.
كما وجد باحثو بالو ألتو أيضًا أن الجهات الفاعلة في مجال التهديد تقوم عادةً بالبحث عن الأنظمة التي تحتوي على خلل تم الكشف عنه للتو بعد دقائق من الإعلان عن مكافحة التطرف العنيف. وفي إحدى الحالات، لاحظوا وجود خلل في تجاوز المصادقة في جهاز شبكة F5 (CVE-2022-1388) تم استهدافه 2,552 مرة في أول 10 ساعات بعد الكشف عن الثغرة الأمنية.
من الصعب اكتشاف نشاط ما بعد الاستغلال
أظهر تحليل كاسبرسكي لبيانات الاستجابة للحوادث أنه في ما يقرب من 63% من الحالات، تمكن المهاجمون من البقاء دون أن يلاحظهم أحد في الشبكة لأكثر من شهر بعد الدخول الأولي. في كثير من الحالات، كان ذلك بسبب استخدام المهاجمين لأدوات وأطر عمل مشروعة مثل PowerShell وMimikatz وPsExec لجمع البيانات وتصعيد الامتيازات وتنفيذ الأوامر.
عندما يلاحظ شخص ما حدوث انتهاك سريعًا، يكون ذلك عادةً بسبب قيام المهاجمين بإحداث ضرر واضح، كما هو الحال أثناء هجوم برنامج الفدية. يقول سابرونوف: "من السهل اكتشاف هجوم برامج الفدية عندما تكون بياناتك مشفرة، نظرًا لعدم توفر الخدمات، ولديك مذكرة فدية على شاشتك".
ولكن عندما يكون الهدف هو بيانات الشركة، يحتاج المهاجمون إلى مزيد من الوقت للتجول في شبكة الضحية لجمع المعلومات الضرورية. وفي مثل هذه الحالات، يتصرف المهاجمون بشكل أكثر خلسة وحذرًا، مما يجعل اكتشاف هذه الأنواع من الهجمات أكثر صعوبة. ويقول: "للكشف عن مثل هذه الحالات، نقترح استخدام مجموعة أدوات أمنية ذات أدوات قياس عن بعد تشبه الكشف والاستجابة الموسعة (EDR) وتنفيذ قواعد للكشف عن الأدوات المنتشرة التي يستخدمها الخصوم".
يقول مايك باركين، كبير المهندسين الفنيين في شركة Vulcan Cyber، إن الفكرة الحقيقية للمؤسسات المؤسسية هي أن المهاجمين سينتهزون أي فرصة ممكنة لاختراق الشبكة.
ويقول: "مع وجود مجموعة من نقاط الضعف القابلة للاستغلال، فليس من المفاجئ أن نرى زيادة طفيفة". ويشير إلى أنه من الصعب تحديد ما إذا كانت الأرقام أعلى بالنسبة لنقاط الضعف المرتبطة بهجمات بيانات الاعتماد المصممة اجتماعيًا.
"لكن خلاصة القول هي أن الجهات الفاعلة في مجال التهديد ستستخدم الثغرات التي تنجح. إذا كان هناك استغلال جديد للتعليمات البرمجية عن بعد في بعض خدمات Windows، فسوف يتدفقون عليها ويخترقون أكبر عدد ممكن من الأنظمة قبل ظهور التصحيحات أو نشر قواعد جدار الحماية.
التحدي الحقيقي هو نقاط الضعف طويلة الذيل: يقول باركين إن الثغرات الأقدم، مثل ProxyLogon، ذات أنظمة ضعيفة تم تفويتها أو تم تجاهلها، مضيفًا أن التصحيح يجب أن يكون أولوية.
