Mange sårbarheder, som ransomware-operatører brugte i 2022-angreb, var år gamle og banede vejen for, at angriberne kunne etablere persistens og bevæge sig sideværts for at udføre deres missioner.
Sårbarhederne i produkter fra Microsoft, Oracle, VMware, F5, SonicWall og flere andre leverandører udgør en klar og aktuel fare for organisationer, der ikke har afhjulpet dem endnu, afslørede en ny rapport fra Ivanti i denne uge.
Gamle Vulns stadig populære
Ivantis rapport er baseret på en analyse af data fra sit eget trusselsefterretningsteam og fra dem hos Securin, Cyber Security Works og Cyware. Det giver et dybdegående kig på sårbarheder, som dårlige aktører almindeligvis udnyttede i ransomware-angreb i 2022.
Ivantis analyse viste, at ransomware-operatører udnyttede i alt 344 unikke sårbarheder i angreb sidste år – en stigning på 56 i forhold til 2021. Heraf var opsigtsvækkende 76 % af fejlene fra 2019 eller før. De ældste sårbarheder i sættet var faktisk tre RCE-fejl (Remote Code execution) fra 2012 i Oracles produkter: CVE-2012-1710 i Oracle Fusion middleware og CVE-2012-1723 , CVE-2012-4681 i Java Runtime Environment.
Srinivas Mukkamala, Ivantis chief product officer, siger, at selvom dataene viser, at ransomware-operatører bevæbnede nye sårbarheder hurtigere end nogensinde sidste år, fortsatte mange med at stole på gamle sårbarheder, der forbliver upatchede på virksomhedssystemer.
"Ældre fejl, der bliver udnyttet, er et biprodukt af patches kompleksitet og tidskrævende natur," siger Mukkamala. "Det er grunden til, at organisationer er nødt til at tage en risikobaseret tilgang til sårbarhedshåndtering for at prioritere patches, så de kan afhjælpe sårbarheder, der udgør den største risiko for deres organisation."
De største trusler
Blandt de sårbarheder, som Ivanti identificerede som værende den største fare, var 57, som virksomheden beskrev som at tilbyde trusselsaktører kapaciteter til at udføre hele deres mission. Disse var sårbarheder, der gør det muligt for en angriber at få indledende adgang, opnå vedholdenhed, eskalere privilegier, undgå forsvar, få adgang til legitimationsoplysninger, opdage aktiver, de måske leder efter, flytte sideværts, indsamle data og udføre den endelige mission.
De tre Oracle-fejl fra 2012 var blandt 25 sårbarheder i denne kategori, som var fra 2019 eller ældre. Udbytninger mod tre af dem (CVE-2017-18362, CVE-2017-6884, , CVE-2020-36195) i produkter fra henholdsvis ConnectWise, Zyxel og QNAP, bliver i øjeblikket ikke opdaget af scannere, sagde Ivanti.
En flerhed (11) af sårbarhederne på listen, der tilbød en komplet udnyttelseskæde, stammede fra ukorrekt inputvalidering. Andre almindelige årsager til sårbarheder omfattede problemer med stigennemgang, OS-kommandoinjektion, out-of-bounds skrivefejl og SQL-injektion.
Udbredte fejl er mest populære
Ransomware-aktører havde også en tendens til at foretrække fejl, der eksisterer på tværs af flere produkter. En af de mest populære blandt dem var CVE-2018-3639, en type spekulativ sidekanalsårbarhed som Intel afslørede i 2018. Sårbarheden findes i 345 produkter fra 26 leverandører, siger Mukkamala. Andre eksempler omfatter CVE-2021-4428, den berygtede Log4Shell-fejl, som mindst seks ransomware-grupper i øjeblikket udnytter. Fejlen er blandt dem, som Ivanti fandt trending blandt trusselsaktører så sent som i december 2022. Den findes i mindst 176 produkter fra 21 leverandører, herunder Oracle, Red Hat, Apache, Novell og Amazon.
To andre sårbarheder, som ransomware-operatører foretrækker på grund af deres udbredte udbredelse er CVE-2018-5391 i Linux-kernen og CVE-2020-1472, en kritisk udvidelse af privilegiefejl i Microsoft Netlogon. Mindst ni ransomware-bander, inklusive dem bag Babuk, CryptoMix, Conti, DarkSide og Ryuk, har brugt fejlen, og den fortsætter også med at udvikle sig i popularitet blandt andre, sagde Ivanti.
I alt fandt sikkerheden ud af, at omkring 118 sårbarheder, der blev brugt i ransomware-angreb sidste år, var fejl, der eksisterede på tværs af flere produkter.
"Trusselsaktører er meget interesserede i fejl, der er til stede i de fleste produkter," siger Mukkamala.
Ingen på CISA-listen
Det er bemærkelsesværdigt, at 131 af de 344 fejl, som ransomware-angribere udnyttede sidste år, ikke er inkluderet i det amerikanske Cybersecurity and Infrastructure Security Agencys tæt fulgte KEV-database (Kendt Udnyttede Vulnerabilities). Databasen lister softwarefejl, som trusselsaktører aktivt udnytter, og som CISA vurderer som særligt risikable. CISA kræver, at føderale agenturer behandler sårbarheder, der er opført i databasen, på prioritetsbasis og normalt inden for to uger eller deromkring.
"Det er væsentligt, at disse ikke er i CISA's KEV, fordi mange organisationer bruger KEV til at prioritere patches," siger Mukkamala. Det viser, at selvom KEV er en solid ressource, giver den ikke et fuldt overblik over alle de sårbarheder, der bruges i ransomware-angreb, siger han.
Ivanti fandt ud af, at 57 sårbarheder, der blev brugt i ransomware-angreb sidste år af grupper som LockBit, Conti og BlackCat, havde lav- og mellemsværhedsscore i den nationale sårbarhedsdatabase. Faren: dette kan dæmpe organisationer, der bruger scoren til at prioritere at lappe ind i en falsk følelse af sikkerhed, sagde sikkerhedsleverandøren.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
- 11
- 2012
- 2018
- 2019
- 2021
- 2022
- 7
- a
- adgang
- opnå
- tværs
- aktivt
- aktører
- adresse
- mod
- agenturer
- agentur
- Alle
- Amazon
- blandt
- analyse
- ,
- og infrastruktur
- Apache
- tilgang
- Aktiver
- Angreb
- Bad
- baseret
- grundlag
- fordi
- før
- bag
- være
- Største
- bugs
- kapaciteter
- Boligtype
- årsager
- kæde
- chef
- produktchef
- klar
- nøje
- kode
- indsamler
- Fælles
- almindeligt
- selskab
- sammenlignet
- fuldføre
- kompleksitet
- Conti
- fortsatte
- fortsætter
- kunne
- Legitimationsoplysninger
- kritisk
- For øjeblikket
- Cyber
- cybersikkerhed
- Cybersecurity
- FARE
- data
- Database
- december
- beskrevet
- opdaget
- opdage
- Enterprise
- Hele
- Miljø
- fejl
- især
- etablere
- NOGENSINDE
- eksempler
- udføre
- udførelse
- udførelse
- eksisterer
- Exploit
- Exploited
- exploits
- hurtigere
- Federal
- endelige
- fejl
- fejl
- efterfulgt
- fundet
- fra
- fuld
- fusion
- Gevinst
- Bander
- størst
- Gruppens
- hat
- HTML
- HTTPS
- identificeret
- in
- dybdegående
- omfatter
- medtaget
- Herunder
- Forøg
- berygtede
- Infrastruktur
- initial
- indgang
- Intel
- Intelligens
- interesseret
- spørgsmål
- IT
- Java
- kendt
- Efternavn
- Sidste år
- linux
- Liste
- Børsnoterede
- Lister
- Log4Shell
- Se
- leder
- Flertal
- ledelse
- mange
- microsoft
- måske
- Mission
- missioner
- mest
- Mest Populære
- bevæge sig
- flere
- national
- Natur
- Behov
- Ny
- NIST
- tilbydes
- tilbyde
- Tilbud
- Officer
- Gammel
- ældste
- ONE
- Operatører
- oracle
- ordrer
- organisation
- organisationer
- OS
- Andet
- Andre
- egen
- Patches
- lappe
- sti
- udholdenhed
- plato
- Platon Data Intelligence
- PlatoData
- Populær
- popularitet
- foretrække
- præsentere
- fremherskende
- Prioriter
- prioritet
- privilegier
- Produkt
- Produkter
- give
- QNAP
- ransomware
- Ransomware angreb
- for nylig
- Rød
- Red Hat
- forblive
- fjern
- indberette
- Kræver
- ressource
- Revealed
- Risiko
- Risikabel
- Ryuk
- Said
- siger
- sikkerhed
- forstand
- sæt
- flere
- Shows
- signifikant
- SIX
- So
- Software
- solid
- nogle
- Stadig
- sådan
- Systemer
- Tag
- hold
- deres
- denne uge
- trussel
- trusselsaktører
- trusler
- tre
- tidskrævende
- til
- I alt
- Trend
- trend
- enestående
- us
- brug
- sædvanligvis
- validering
- sælger
- leverandører
- Specifikation
- vmware
- Sårbarheder
- sårbarhed
- uge
- uger
- som
- mens
- WHO
- udbredt
- inden for
- virker
- skriver
- år
- år
- zephyrnet
