Breaches involving phishing and credential compromise have received a lot of attention in recent years because of how frequently threat actors have employed the tactics in executing both targeted and opportunistic attacks. But that doesn’t mean that enterprise organizations can afford to lessen their focus on vulnerability patching one bit.
گزارشی از کسپرسکی در این هفته نشان داد که نفوذهای اولیه بیشتری در سال گذشته ناشی از سوء استفاده از آسیبپذیریها در برنامههای کاربردی اینترنت است تا نفوذهای مربوط به ایمیلهای مخرب و حسابهای در معرض خطر. ترکیب شده. و داده هایی که این شرکت در سه ماهه دوم سال 2022 جمع آوری کرده است نشان می دهد که همین روند ممکن است در سال جاری نیز ادامه داشته باشد.
Kaspersky’s analysis of its 2021 دادههای مربوط به واکنش نشان داد که نقضهای مربوط به سوءاستفادههای آسیبپذیری از 31.5 درصد کل حوادث در سال 2020 به 53.6 درصد در سال 2021 افزایش یافته است. در مدت مشابه، حملات مرتبط با استفاده از حسابهای در معرض خطر برای دسترسی اولیه از 31.6 درصد در سال 2020 به 17.9 درصد کاهش یافته است. ٪ در سال گذشته. نفوذهای اولیه ناشی از ایمیل های فیشینگ از 23.7 درصد به 14.3 درصد در مدت مشابه کاهش یافته است.
نقصهای سرور Exchange به دیوانگی Exploit دامن میزند
کسپرسکی افزایش فعالیت اکسپلویت در سال گذشته را به احتمال زیاد به چندین آسیبپذیری مهم Exchange Server که مایکروسافت فاش کرد، از جمله مجموعهای از چهار روز صفر در مارس 2021 که به عنوان نقص های ProxyLogon (CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، CVE-2021-27065). هنگامی که به هم زنجیر می شوند، به مهاجمان اجازه می دهند تا کنترل کامل از راه دور بر روی سرورهای Exchange در محل به دست آورند.
مهاجمان - که شامل باندهای تبهکار سازمانیافته و گروههای حمایتشده دولتی از چین میشدند - به سرعت از دهها هزار سیستم آسیبپذیر Exchange Server سوء استفاده کردند و قبل از اینکه مایکروسافت وصلهای برای نقصها صادر کند، پوستههای وب را روی آنها انداختند. این آسیبپذیریها به دلیل فراگیر بودن و شدت آن، نگرانیهای زیادی را برانگیخت. آنها حتی وزارت دادگستری ایالات متحده را ترغیب کردند که به FBI اجازه دهد تا این اقدام بی سابقه را انجام دهد حذف فعالانه پوسته های وب ProxyLogon از سرورهای متعلق به صدها سازمان - در بیشتر موارد، بدون هیچ اطلاع رسانی.
همچنین در سال 2021، سه آسیبپذیری دیگر Exchange Server باعث فعالیت اکسپلویت شد در مجموع با برچسب ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) که مهاجمان به طور گسترده برای حذف باج افزار و حملات در معرض خطر ایمیل تجاری (BEC) استفاده می کردند.
More than a year later, the ProxyLogon and ProxyShell vulnerabilities continue to be targets of heavy exploit activity, says Konstantin Sapronov, head of Kaspersky’s Global Emergency Response Team. One of the most severe of these flaws (CVE-2021-26855) نیز بیشترین هدف را داشته است. کسپرسکی مشاهده کرد که این آسیبپذیری - بخشی از مجموعه ProxyLogon - در 22.7٪ از تمام حوادث مربوط به سوء استفادههای آسیبپذیری که در سال 2021 به آنها پاسخ داد، مورد سوء استفاده قرار میگیرد، و طبق گفته ساپرونوف، این نقص در سال جاری نیز مورد علاقه مهاجمان است.
همان روند بهره برداری احتمالاً در سال 2022 اجرا می شود
اگرچه چندین آسیبپذیری جدی در سال جاری ظاهر شده است - از جمله آسیب پذیری همه جا حاضر آپاچی Log4j (CVE-2021-44228) — the most exploited vulnerabilities of 2021 remain very prevalent in 2022 as well, Sapronov says, even beyond the Exchange server bugs. For instance, Kaspersky identified a flaw in Microsoft’s MSHTML browser engine (CVE-2021-40444, patched last September) as the most آسیب پذیری به شدت مورد حمله قرار گرفته است در سه ماهه دوم 2022.
“Vulnerabilities in popular software such as MS Exchange Server and library Log4j have resulted in a huge number of attacks,” Sapronov notes. “Our advice to enterprise customers is to pay close attention to patch management issues.”
زمان اولویت بندی Patching است
Others have noted a similar spike in vulnerability exploit activity. In April, researchers from Palo Alto Networks’ Unit 42 threat research team noted how 31%, or تقریباً یکی از هر سه حادثه، آنها تا آن زمان در سال 2022 تجزیه و تحلیل کرده بودند که شامل اکسپلویت های آسیب پذیری بود. در بیش از نیمی (55%) از آنها، عوامل تهدید ProxyShell را هدف قرار داده بودند.
محققان پالو آلتو همچنین دریافتند که عاملهای تهدید معمولاً چند دقیقه پس از اعلام CVE، سیستمهایی را با نقصی که به تازگی آشکار شده است، اسکن میکنند. در یک نمونه، آنها یک نقص بای پس احراز هویت را در یک دستگاه شبکه F5 (CVE-2022-1388) مشاهده کردند که 2,552 بار در 10 ساعت اول پس از افشای آسیبپذیری مورد هدف قرار گرفت.
فعالیت پس از بهره برداری دشوار است
Kaspersky’s analysis of its incident-response data showed that in nearly 63% of cases, attackers managed to stay unnoticed in a network for more than a month after gaining initial entry. In many cases, this was because the attackers used legitimate tools and frameworks such as PowerShell, Mimikatz, and PsExec to collect data, escalate privileges, and execute commands.
When someone did quickly notice a breach, it was typically because the attackers had created obvious damage, such as during a ransomware attack. “It’s easy to detect a ransomware attack when your data is encrypted, as services are unavailable, and you have a ransom note on your monitor,” Sapronov says.
But when the target is a company’s data, attackers need more time to roam around the victim’s network to collect necessary information. In such cases, attackers act more stealthily and cautiously, which makes these kinds of attacks harder to detect. “To detect such cases, we suggest employing a security tool stack with extended detection and response (EDR)-like telemetry and implement rules for detection of pervasive tools used by adversaries,” he says.
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، میگوید نکته اصلی برای سازمانهای سازمانی این است که مهاجمان از هر فرصتی برای نفوذ به شبکه استفاده میکنند.
“With a range of exploitable vulnerabilities, it’s not a surprise to see an uptick,” he says. Whether the numbers are higher for vulnerabilities over socially engineered credential attacks, is hard to say, he notes.
“But the bottom line is threat actors will use the exploits that work. If there’s a new remote code exploit on some Windows service, they’ll flock to it and breach as many systems as they can before the patches come out or firewall rules get deployed,” he says.
پارکین میگوید چالش واقعی آسیبپذیریهای طولانی است: موارد قدیمیتر، مانند ProxyLogon، با سیستمهای آسیبپذیر که نادیده گرفته شدهاند یا نادیده گرفته شدهاند، و اضافه میکند که وصله باید در اولویت باشد.