Suurin osa kiristyshaittaohjelmista hyökkäsi viime vuonna hyödyntäen vanhoja bugeja

Monet haavoittuvuudet, joita ransomware-operaattorit käyttivät vuoden 2022 hyökkäyksissä, olivat vuosia vanhoja ja tasoittivat tietä hyökkääjille pysyvyyden saavuttamiselle ja liikkumiselle sivusuunnassa tehtäviensä suorittamiseksi.

Microsoftin, Oraclen, VMwaren, F5:n, SonicWallin ja useiden muiden valmistajien tuotteiden haavoittuvuudet muodostavat selvän ja ajankohtaisen vaaran organisaatioille, jotka eivät ole vielä korjanneet niitä, Ivantin uusi raportti paljasti tällä viikolla.

Vanhat Vulns edelleen suosittuja

Ivantin raportti perustuu an tietojen analyysi omalta uhkien tiedustelutiimiltä sekä Securinin, Cyber ​​Security Worksin ja Cywaren henkilöiltä. Se tarjoaa perusteellisen katsauksen haavoittuvuuksiin, joita huonot toimijat yleensä käyttivät hyväkseen kiristysohjelmahyökkäyksissä vuonna 2022.

Ivantin analyysi osoitti, että ransomware-operaattorit käyttivät viime vuonna hyväkseen yhteensä 344 ainutlaatuista haavoittuvuutta hyökkäyksissä, mikä on 56 kasvua vuoteen 2021 verrattuna. Tästä hätkähdyttävät 76 % puutteista oli peräisin vuodelta 2019 tai sitä ennen. Sarjan vanhimmat haavoittuvuudet olivat itse asiassa kolme etäkoodin suorittamisen (RCE) bugia vuodelta 2012 Oraclen tuotteissa: CVE-2012-1710 Oracle Fusion -väliohjelmistossa ja CVE-2012-1723 ja CVE-2012-4681 Java Runtime Environment -ympäristössä.

Ivantin tuotepäällikkö Srinivas Mukkamala sanoo, että vaikka ransomware-operaattorit aseistivat uusia haavoittuvuuksia nopeammin kuin koskaan viime vuonna, monet luottavat edelleen vanhoihin haavoittuvuuksiin, joita ei ole korjattu yritysjärjestelmissä. 

"Vanhempien puutteiden hyödyntäminen on sivutuote laastarien monimutkaisuudesta ja aikaa vievästä luonteesta", Mukkamala sanoo. "Tästä syystä organisaatioiden on omaksuttava riskiperusteinen haavoittuvuuksien hallintatapa priorisoidakseen korjaustiedostoja, jotta ne voivat korjata organisaatiolleen suurimman riskin aiheuttavat haavoittuvuudet."

Suurimmat uhkat

Ivantin suurimmaksi vaaraksi määrittämien haavoittuvuuksien joukossa oli 57, jotka yritys kuvaili tarjoavan uhkatoimijoille valmiuksia heidän koko tehtävänsä suorittamiseen. Nämä olivat haavoittuvuuksia, joiden avulla hyökkääjä voi päästä alkuun, saavuttaa pysyvyyttä, laajentaa oikeuksia, kiertää puolustusta, päästä käsiksi valtuuksiin, löytää etsimäänsä omaisuutta, liikkua sivusuunnassa, kerätä tietoja ja suorittaa viimeisen tehtävän.

Kolme Oracle-virhettä vuodelta 2012 olivat 25 tämän luokan haavoittuvuuden joukossa, jotka olivat peräisin vuodelta 2019 tai vanhemmasta. Hyökkäykset kolmea vastaan ​​(CVE-2017-18362, CVE-2017-6884, ja CVE-2020-36195) ConnectWisen, Zyxelin ja QNAP:n tuotteissa skannerit eivät tällä hetkellä havaitse, Ivanti sanoi.

Useat (11) luettelon haavoittuvuuksista, jotka tarjosivat täydellisen hyväksikäyttöketjun, johtuivat väärästä syötteen validoinnista. Muita yleisiä haavoittuvuuksien syitä olivat polun läpikulkuongelmat, käyttöjärjestelmän komentojen lisäys, rajojen ulkopuoliset kirjoitusvirheet ja SQL-lisäys. 

Yleisesti esiintyvät viat ovat suosituimpia

Ransomware-toimijat suosivat myös useissa tuotteissa olevia puutteita. Yksi suosituimmista heistä oli CVE-2018-3639, eräänlainen spekulatiivinen sivukanavan haavoittuvuus jonka Intel paljasti vuonna 2018. Haavoittuvuus on 345 tuotteessa 26 toimittajalta, Mukkamala kertoo. Muita esimerkkejä ovat mm CVE-2021-4428, pahamaineinen Log4Shell-virhe, jota ainakin kuusi lunnasohjelmaryhmää käyttää parhaillaan hyväkseen. Vika on yksi niistä, jotka Ivanti havaitsi nousevan uhkatekijöiden keskuudessa vielä joulukuussa 2022. Se on olemassa vähintään 176 tuotteessa 21 toimittajalta, mukaan lukien Oracle, Red Hat, Apache, Novell ja Amazon.

Kaksi muuta haavoittuvuutta, joita ransomware-operaattorit suosivat niiden laajan levinneisyyden vuoksi, ovat CVE-2018-5391 Linux-ytimessä ja CVE-2020-1472, kriittinen käyttöoikeusvirhe Microsoft Netlogonissa. Ainakin yhdeksän ransomware-jengiä, mukaan lukien Babukin, CryptoMixin, Contin, DarkSiden ja Ryukin takana olevat, on käyttänyt virhettä, ja se jatkaa suosiotaan myös muiden joukossa, Ivanti sanoi.

Kaikkiaan turvallisuus havaitsi, että noin 118 haavoittuvuutta, joita käytettiin kiristysohjelmahyökkäyksissä viime vuonna, olivat puutteita, joita oli useissa tuotteissa.

"Uhkatoimijat ovat erittäin kiinnostuneita virheistä, joita useimmissa tuotteissa on", Mukkamala sanoo.

Ei yhtään CISA-luettelossa

Huomionarvoista on, että 131 344 puutteesta, joita kiristysohjelmahyökkääjät käyttivät viime vuonna hyväkseen, ei sisälly Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston tiiviisti seurattavaan Known Exploited Vulnerabilities (KEV) -tietokantaan. Tietokanta listaa ohjelmistovirheitä, joita uhkatoimijat aktiivisesti hyödyntävät ja joita CISA arvioi erityisen riskialttiiksi. CISA edellyttää, että liittovaltion virastot korjaavat tietokannassa luetellut haavoittuvuudet ensisijaisesti ja yleensä kahden viikon kuluessa.

"On merkittävää, että nämä eivät ole CISA:n KEV:ssä, koska monet organisaatiot käyttävät KEV:ää priorisoimaan korjaustiedostoja", Mukkamala sanoo. Tämä osoittaa, että vaikka KEV on vankka resurssi, se ei tarjoa täydellistä näkemystä kaikista kiristysohjelmien hyökkäyksissä käytetyistä haavoittuvuuksista, hän sanoo.

Ivanti havaitsi, että LockBitin, Contin ja BlackCatin kaltaisten ryhmien viime vuonna käyttämillä ransomware-hyökkäyksissä käyttämillä 57 haavoittuvuudella oli alhainen tai keskivakava arvosana kansallisessa haavoittuvuustietokannassa. Vaara: tämä voi tuudittaa organisaatiot, jotka käyttävät pisteytystä priorisoidakseen paikannuksen väärään turvallisuuden tunteeseen, tietoturvatoimittaja sanoi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain