اکثر حملات باج افزار در سال گذشته از باگ های قدیمی سوء استفاده کردند

بسیاری از آسیب‌پذیری‌هایی که اپراتورهای باج‌افزار در حملات 2022 از آن‌ها استفاده می‌کردند، سال‌ها قدمت داشتند و راه را برای مهاجمان هموار کردند تا پایداری و حرکت جانبی برای انجام مأموریت‌های خود را ایجاد کنند.

گزارش جدیدی از Ivanti در این هفته نشان داد که آسیب‌پذیری‌ها در محصولات مایکروسافت، اوراکل، VMware، F5، SonicWall و چندین فروشنده دیگر، خطری واضح و آشکار برای سازمان‌هایی است که هنوز آن‌ها را اصلاح نکرده‌اند.

Vulns قدیمی هنوز محبوب است

گزارش ایوانتی بر اساس یک تجزیه و تحلیل داده ها از تیم اطلاعاتی تهدیدات خودش و از تیم‌های Securin، Cyber ​​Security Works و Cyware. این نگاهی عمیق به آسیب‌پذیری‌هایی ارائه می‌کند که بازیگران بد معمولاً در حملات باج‌افزار در سال 2022 از آنها سوء استفاده می‌کنند.

تجزیه و تحلیل Ivanti نشان داد که اپراتورهای باج‌افزار در مجموع از 344 آسیب‌پذیری منحصربه‌فرد در حملات سال گذشته سوء استفاده کرده‌اند که در مقایسه با سال 56، 2021 مورد افزایش داشته است. از این تعداد، 76 درصد از نقص‌ها مربوط به سال 2019 یا قبل از آن بود. قدیمی‌ترین آسیب‌پذیری‌های این مجموعه در واقع سه باگ اجرای کد از راه دور (RCE) از سال 2012 در محصولات اوراکل بودند: CVE-2012-1710 در میان افزار اوراکل فیوژن و CVE-2012-1723 و CVE-2012-4681 در محیط زمان اجرا جاوا.

Srinivas Mukkamala، مدیر ارشد محصول ایوانتی، می‌گوید در حالی که داده‌ها نشان می‌دهد که اپراتورهای باج‌افزار آسیب‌پذیری‌های جدید را سریع‌تر از هر زمان دیگری در سال گذشته مورد استفاده قرار داده‌اند، بسیاری از آنها همچنان به آسیب‌پذیری‌های قدیمی اعتماد می‌کنند که در سیستم‌های سازمانی اصلاح نشده باقی می‌مانند. 

Mukkamala می‌گوید: «نقص‌های قدیمی‌تر که مورد بهره‌برداری قرار می‌گیرند محصول جانبی پیچیدگی و ماهیت زمان‌بر وصله‌ها است. به همین دلیل است که سازمان‌ها باید رویکرد مدیریت آسیب‌پذیری مبتنی بر ریسک را برای اولویت‌بندی وصله‌ها اتخاذ کنند تا بتوانند آسیب‌پذیری‌هایی را که بیشترین خطر را برای سازمانشان ایجاد می‌کنند، اصلاح کنند.

بزرگترین تهدیدها

از جمله آسیب‌پذیری‌هایی که ایوانتی به‌عنوان بزرگ‌ترین خطر شناسایی کرد، 57 مورد بود که شرکت آن‌ها را به عنوان ارائه قابلیت‌های بازیگران تهدید برای اجرای کل مأموریت خود توصیف کرد. اینها آسیب‌پذیری‌هایی بودند که به مهاجم اجازه می‌دهند به دسترسی اولیه، دستیابی به پایداری، افزایش امتیازات، فرار از دفاع، دسترسی به اعتبار، کشف دارایی‌هایی که ممکن است به دنبال آن باشند، حرکت جانبی، جمع‌آوری داده‌ها و اجرای مأموریت نهایی را به مهاجمان بدهد.

سه باگ Oracle مربوط به سال 2012 از جمله 25 آسیب پذیری در این دسته بودند که مربوط به سال 2019 یا بالاتر بودند. سوء استفاده علیه سه نفر از آنها (CVE-2017-18362, CVE-2017-6884 ، و CVE-2020-36195ایوانتی گفت که در محصولات ConnectWise، Zyxel و QNAP به ترتیب در حال حاضر توسط اسکنرها شناسایی نمی شوند.

تعداد زیادی (11) از آسیب‌پذیری‌های موجود در فهرست که یک زنجیره بهره‌برداری کامل را ارائه می‌دهند، از اعتبارسنجی ورودی نامناسب ناشی می‌شوند. سایر دلایل رایج برای آسیب‌پذیری‌ها عبارتند از مشکلات پیمایش مسیر، تزریق دستورات سیستم‌عامل، خطاهای نوشتن خارج از محدوده و تزریق SQL. 

عیب های رایج محبوب ترین هستند

بازیگران باج‌افزار نیز تمایل داشتند نقص‌هایی را که در چندین محصول وجود دارد ترجیح دهند. یکی از محبوب ترین آنها در میان آنها بود CVE-2018-3639 ، گونه ای از آسیب پذیری کانال جانبی احتمالی که اینتل در سال 2018 فاش کرد. Mukkamala می‌گوید این آسیب‌پذیری در 345 محصول از 26 فروشنده وجود دارد. نمونه های دیگر عبارتند از CVE-2021-4428, نقص بدنام Log4Shell، که حداقل شش گروه باج افزار در حال حاضر از آن بهره برداری می کنند. این نقص از جمله مواردی است که ایوانتی اخیراً در دسامبر 2022 در میان عوامل تهدید رواج یافت. این نقص در حداقل 176 محصول از 21 فروشنده از جمله Oracle، Red Hat، Apache، Novell و Amazon وجود دارد.

دو آسیب‌پذیری دیگر که اپراتورهای باج‌افزار به دلیل شیوع گسترده آن‌ها مورد توجه قرار گرفته‌اند عبارتند از CVE-2018-5391 در هسته لینوکس و CVE-2020-1472، یک ارتقای حیاتی نقص امتیاز در مایکروسافت Netlogon. ایوانتی گفت که حداقل نه باج افزار باج افزار از جمله گروه های پشتیبان Babuk، CryptoMix، Conti، DarkSide و Ryuk از این نقص استفاده کرده اند و همچنان محبوبیت آن در میان سایرین همچنان ادامه دارد.

در مجموع، امنیت دریافت که حدود 118 آسیب‌پذیری که در حملات باج‌افزار در سال گذشته مورد استفاده قرار گرفتند، نقص‌هایی بودند که در چندین محصول وجود داشت.

Mukkamala می گوید: "بازیگران تهدید به نقص هایی که در اکثر محصولات وجود دارد بسیار علاقه مند هستند."

هیچ کدام در فهرست CISA وجود ندارد

قابل ذکر است، 131 نقص از 344 نقصی که مهاجمان باج افزار در سال گذشته از آنها سوء استفاده کردند، در پایگاه داده آسیب پذیری های شناخته شده سوء استفاده شده (KEV) آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده که از نزدیک دنبال می شود، گنجانده نشده است. این پایگاه داده عیوب نرم افزاری را فهرست می کند که عوامل تهدید فعالانه از آنها سوء استفاده می کنند و CISA آنها را به ویژه خطرناک ارزیابی می کند. CISA از آژانس‌های فدرال می‌خواهد که آسیب‌پذیری‌های فهرست‌شده در پایگاه داده را بر اساس اولویت و معمولاً ظرف دو هفته یا بیشتر برطرف کنند.

Mukkamala می‌گوید: «این مهم است که اینها در KEV CISA نیستند زیرا بسیاری از سازمان‌ها از KEV برای اولویت‌بندی وصله‌ها استفاده می‌کنند. او می‌گوید این نشان می‌دهد که اگرچه KEV یک منبع قوی است، اما دید کاملی از تمام آسیب‌پذیری‌های مورد استفاده در حملات باج‌افزار ارائه نمی‌دهد.

ایوانتی دریافت که ۵۷ آسیب‌پذیری مورد استفاده در حملات باج‌افزار در سال گذشته توسط گروه‌هایی مانند LockBit، Conti و BlackCat، دارای امتیازات کم و متوسط ​​در پایگاه داده آسیب‌پذیری ملی هستند. خطر: به گفته فروشنده امنیت، این می تواند سازمان هایی را که از امتیاز استفاده می کنند برای اولویت دادن به وصله در احساس امنیت کاذب آرام کند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain