Die Mehrheit der Ransomware-Angriffe im letzten Jahr nutzte alte Bugs aus

Viele Schwachstellen, die Ransomware-Betreiber bei Angriffen im Jahr 2022 ausnutzten, waren Jahre alt und ebneten den Angreifern den Weg, um Persistenz aufzubauen und sich seitlich zu bewegen, um ihre Missionen auszuführen.

Die Schwachstellen in Produkten von Microsoft, Oracle, VMware, F5, SonicWall und mehreren anderen Anbietern stellen eine klare und aktuelle Gefahr für Unternehmen dar, die sie noch nicht behoben haben, wie ein neuer Bericht von Ivanti diese Woche enthüllte.

Alte Vulns immer noch beliebt

Ivantis Bericht basiert auf einer Datenanalyse von seinem eigenen Threat-Intelligence-Team und von denen bei Securin, Cyber ​​Security Works und Cyware. Es bietet einen detaillierten Einblick in Schwachstellen, die Angreifer häufig bei Ransomware-Angriffen im Jahr 2022 ausnutzen.

Die Analyse von Ivanti zeigte, dass Ransomware-Betreiber im vergangenen Jahr insgesamt 344 einzigartige Schwachstellen bei Angriffen ausgenutzt haben – eine Steigerung von 56 im Vergleich zu 2021. Davon stammen erstaunliche 76 % der Schwachstellen aus dem Jahr 2019 oder früher. Die ältesten Sicherheitslücken im Set waren tatsächlich drei RCE-Bugs (Remote Code Execution) aus dem Jahr 2012 in Oracle-Produkten: CVE-2012-1710 in Oracle Fusion-Middleware und CVE-2012-1723 und CVE-2012-4681 in der Java-Laufzeitumgebung.

Srinivas Mukkamala, Chief Product Officer von Ivanti, sagt, dass die Daten zwar zeigen, dass Ransomware-Betreiber im vergangenen Jahr schneller als je zuvor neue Schwachstellen als Waffe genutzt haben, sich viele jedoch weiterhin auf alte Schwachstellen verlassen haben, die auf Unternehmenssystemen nicht gepatcht werden. 

„Das Ausnutzen älterer Schwachstellen ist ein Nebenprodukt der Komplexität und Zeitaufwendigkeit von Patches“, sagt Mukkamala. „Aus diesem Grund müssen Unternehmen einen risikobasierten Schwachstellen-Management-Ansatz verfolgen, um Patches zu priorisieren, damit sie Schwachstellen beheben können, die das größte Risiko für ihr Unternehmen darstellen.“

Die größten Bedrohungen

Unter den Schwachstellen, die Ivanti als die größte Gefahr identifizierte, befanden sich 57, die das Unternehmen als Möglichkeiten für Bedrohungsakteure beschrieb, ihre gesamte Mission auszuführen. Dies waren Schwachstellen, die es einem Angreifer ermöglichen, sich anfänglichen Zugriff zu verschaffen, Persistenz zu erreichen, Berechtigungen zu eskalieren, Abwehrmaßnahmen zu umgehen, auf Anmeldeinformationen zuzugreifen, Assets zu entdecken, nach denen er möglicherweise sucht, sich seitlich zu bewegen, Daten zu sammeln und die letzte Mission auszuführen.

Die drei Oracle-Bugs aus dem Jahr 2012 gehörten zu 25 Schwachstellen in dieser Kategorie, die aus dem Jahr 2019 oder älter stammen. Exploits gegen drei von ihnen (CVE-2017-18362, CVE-2017-6884, und CVE-2020-36195) in Produkten von ConnectWise, Zyxel bzw. QNAP werden derzeit nicht von Scannern erkannt, sagte Ivanti.

Eine Vielzahl (11) der Schwachstellen in der Liste, die eine vollständige Exploit-Kette boten, stammte von unsachgemäßer Eingabevalidierung. Andere häufige Ursachen für Sicherheitslücken waren Probleme beim Traversieren von Pfaden, OS Command Injection, Out-of-Bounds-Schreibfehler und SQL-Injection. 

Weit verbreitete Mängel sind am beliebtesten

Ransomware-Akteure tendierten auch dazu, Schwachstellen zu bevorzugen, die in mehreren Produkten vorhanden sind. Einer der beliebtesten unter ihnen war CVE-2018-3639, Eine Art von spekulative Seitenkanal-Schwachstelle die Intel 2018 offengelegt hat. Die Schwachstelle existiert in 345 Produkten von 26 Anbietern, sagt Mukkamala. Andere Beispiele umfassen CVE-2021-4428, der berüchtigte Log4Shell-Fehler, die derzeit von mindestens sechs Ransomware-Gruppen ausgenutzt wird. Der Fehler gehört zu denen, die Ivanti noch im Dezember 2022 unter Bedrohungsakteuren als Trend erkannte. Er existiert in mindestens 176 Produkten von 21 Anbietern, darunter Oracle, Red Hat, Apache, Novell und Amazon.

Zwei weitere Schwachstellen, die von Ransomware-Betreibern wegen ihrer weiten Verbreitung bevorzugt werden, sind CVE-2018-5391 im Linux-Kernel und CVE-2020-1472, ein kritischer Rechteerweiterungsfehler in Microsoft Netlogon. Mindestens neun Ransomware-Banden, darunter die hinter Babuk, CryptoMix, Conti, DarkSide und Ryuk, haben den Fehler ausgenutzt, und er erfreut sich auch unter anderen weiterhin wachsender Beliebtheit, sagte Ivanti.

Insgesamt stellte die Sicherheit fest, dass etwa 118 Schwachstellen, die im vergangenen Jahr bei Ransomware-Angriffen verwendet wurden, Fehler waren, die in mehreren Produkten bestanden.

„Bedrohungsakteure sind sehr an Fehlern interessiert, die in den meisten Produkten vorhanden sind“, sagt Mukkamala.

Keine auf der CISA-Liste

Bemerkenswerterweise sind 131 der 344 Schwachstellen, die Ransomware-Angreifer im vergangenen Jahr ausgenutzt haben, nicht in der viel beachteten Known Exploited Vulnerabilities (KEV)-Datenbank der US Cybersecurity and Infrastructure Security Agency enthalten. Die Datenbank listet Softwarefehler auf, die Angreifer aktiv ausnutzen und die CISA als besonders riskant einstuft. CISA verlangt von Bundesbehörden, in der Datenbank aufgeführte Schwachstellen vorrangig und normalerweise innerhalb von etwa zwei Wochen zu beheben.

„Es ist wichtig, dass diese nicht im KEV von CISA enthalten sind, da viele Organisationen das KEV verwenden, um Patches zu priorisieren“, sagt Mukkamala. Das zeigt, dass KEV zwar eine solide Ressource ist, aber keinen vollständigen Überblick über alle Schwachstellen bietet, die bei Ransomware-Angriffen verwendet werden, sagt er.

Ivanti stellte fest, dass 57 Schwachstellen, die im vergangenen Jahr von Gruppen wie LockBit, Conti und BlackCat bei Ransomware-Angriffen verwendet wurden, in der nationalen Schwachstellendatenbank niedrige und mittlere Bewertungen hatten. Die Gefahr: Dies könnte Organisationen, die den Score verwenden, um das Patchen zu priorisieren, in ein falsches Sicherheitsgefühl einlullen, sagte der Sicherheitsanbieter.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain