Enamik lunavararünnakuid eelmisel aastal kasutas ära vanu vigu

Paljud haavatavused, mida lunavaraoperaatorid 2022. aasta rünnakutes kasutasid, olid aastaid vanad ja sillutasid ründajatele teed püsivuse saavutamisele ja külgsuunas liikumisele, et oma missioone täita.

Microsofti, Oracle'i, VMware'i, F5, SonicWalli ja mitmete teiste tarnijate toodete haavatavused kujutavad endast selget ja tõsist ohtu organisatsioonidele, kes pole neid veel kõrvaldanud, selgus sel nädalal Ivanti uuest raportist.

Vanad Vulnid endiselt populaarsed

Ivanti aruanne põhineb an andmete analüüs oma ohuluure meeskonnalt ning Securini, Cyber ​​Security Worksi ja Cyware'i töötajatelt. See pakub põhjaliku ülevaate haavatavustest, mida halvad tegijad 2022. aastal lunavararünnakutes tavaliselt ära kasutasid.

Ivanti analüüs näitas, et lunavaraoperaatorid kasutasid eelmisel aastal rünnakutes kokku 344 unikaalset turvaauku – 56 võrra rohkem kui 2021. aastal. Sellest jahmatavad 76% vigadest pärinesid 2019. aastast või varem. Komplekti vanimad haavatavused olid tegelikult kolm Oracle'i toodete 2012. aasta kaugkäivitamise (RCE) viga: CVE-2012-1710 Oracle Fusioni vahevaras ja CVE-2012-1723 ja CVE-2012-4681 Java käituskeskkonnas.

Ivanti tootejuht Srinivas Mukkamala ütleb, et kuigi andmed näitavad, et lunavaraoperaatorid relvastasid uusi turvaauke eelmisel aastal kiiremini kui kunagi varem, tuginesid paljud jätkuvalt vanadele turvaaukudele, mis jäävad ettevõttesüsteemides parandamata. 

"Vanemate vigade ärakasutamine on plaastrite keerukuse ja aeganõudva olemuse kõrvalsaadus," ütleb Mukkamala. "Seetõttu peavad organisatsioonid kasutama riskipõhist haavatavuse haldamise lähenemisviisi, et seada esikohale paigad, et nad saaksid kõrvaldada haavatavused, mis kujutavad nende organisatsioonile kõige rohkem ohtu."

Suurimad ohud

Ivanti hinnangul suurimat ohtu kujutavate haavatavuste hulgas oli 57, mida ettevõte kirjeldas kui ohus osalejatele võimaluste pakkumist kogu nende missiooni täitmiseks. Need olid haavatavused, mis võimaldavad ründajal saada esialgse juurdepääsu, saavutada püsivust, suurendada privileege, vältida kaitsemehhanisme, pääseda juurde mandaatidele, avastada otsitavaid varasid, liikuda külgsuunas, koguda andmeid ja täita lõplikku ülesannet.

Kolm 2012. aasta Oracle'i viga kuulusid selle kategooria 25 haavatavuse hulka, mis olid pärit 2019. aastast või vanemad. Ärakasutamine kolme vastu (CVE-2017-18362, CVE-2017-6884, ja CVE-2020-36195) vastavalt ConnectWise'i, Zyxeli ja QNAP toodetes skannerid praegu ei tuvasta, ütles Ivanti.

Mitmed (11) loendis olevad haavatavused, mis pakkusid täielikku ärakasutusahelat, tulenevad valest sisendi valideerimisest. Muud haavatavuste levinumad põhjused olid tee läbimise probleemid, OS-i käskude sisestamine, piiridest väljuvad kirjutamisvead ja SQL-i süstimine. 

Laialt levinud vead on kõige populaarsemad

Lunavarategijad eelistasid ka vigu, mis esinevad mitmel tootel. Üks populaarsemaid nende seas oli CVE-2018-3639, teatud tüüpi spekulatiivne kõrvalkanali haavatavus mille Intel avalikustas 2018. aastal. Mukkamala sõnul on haavatavus 345 müüja 26 tootes. Muud näited hõlmavad CVE-2021-4428, kurikuulus Log4Shelli viga, mida praegu kasutab vähemalt kuus lunavaragruppi. See viga on üks neist, mida Ivanti leidis ohustajate hulgas 2022. aasta detsembris. See on olemas vähemalt 176 tootes 21 müüjalt, sealhulgas Oracle, Red Hat, Apache, Novell ja Amazon.

Kaks muud turvaauku, mida lunavaraoperaatorid nende laialdase levimuse tõttu eelistasid, on CVE-2018-5391 Linuxi tuumas ja CVE-2020-1472, privileegide kriitiline tõstmine Microsoft Netlogonis. Vähemalt üheksa lunavarajõugu, sealhulgas Babuki, CryptoMixi, Conti, DarkSide'i ja Ryuki taga olevad rühmad, on seda viga kasutanud ning see on jätkuvalt populaarseks ka teiste seas, ütles Ivanti.

Kokku leidis turvalisus, et umbes 118 turvaauku, mida eelmisel aastal lunavararünnakutes kasutati, olid vead, mis esinesid mitmes tootes.

"Ohutegijad on väga huvitatud puudustest, mis esinevad enamikus toodetes, " ütleb Mukkamala.

CISA nimekirjas pole ühtegi

Märkimisväärne on see, et 131 344 veast, mida lunavararündajad eelmisel aastal ära kasutasid, ei sisaldu USA küberturvalisuse ja infrastruktuuri turvalisuse agentuuri hoolikalt jälgitavas Known Exploited Vulnerabilities (KEV) andmebaasis. Andmebaasis loetletakse tarkvaravead, mida ohus osalejad aktiivselt kasutavad ja mida CISA hindab eriti riskantseteks. CISA nõuab, et föderaalasutused tegeleksid andmebaasis loetletud turvaaukude esmajärjekorras ja tavaliselt kahe nädala jooksul.

"On oluline, et need pole CISA KEV-is, sest paljud organisatsioonid kasutavad plaastrite tähtsuse järjekorda seadmiseks KEV-i, " ütleb Mukkamala. See näitab, et kuigi KEV on kindel ressurss, ei anna see täielikku ülevaadet kõigist lunavararünnakutes kasutatavatest haavatavustest, ütleb ta.

Ivanti leidis, et 57 turvaauku, mida eelmisel aastal lunavararünnakutes kasutasid sellised rühmad nagu LockBit, Conti ja BlackCat, olid riiklikus haavatavuse andmebaasis madala ja keskmise raskusastmega. Oht: see võib uinutada organisatsioone, kes kasutavad skoori vale turvatunde parandamiseks prioriteediks, ütles turvamüüja.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain