De nombreuses vulnérabilités utilisées par les opérateurs de rançongiciels dans les attaques de 2022 dataient de plusieurs années et ont ouvert la voie aux attaquants pour établir la persistance et se déplacer latéralement afin d'exécuter leurs missions.
Les vulnérabilités, dans les produits de Microsoft, Oracle, VMware, F5, SonicWall et plusieurs autres fournisseurs, présentent un danger clair et actuel pour les organisations qui ne les ont pas encore corrigées, a révélé un nouveau rapport d'Ivanti cette semaine.
Les anciens Vulns toujours populaires
Le rapport d'Ivanti est basé sur une analyse de données de sa propre équipe de renseignement sur les menaces et de celles de Securin, Cyber Security Works et Cyware. Il offre un aperçu approfondi des vulnérabilités que les acteurs malveillants ont couramment exploitées dans les attaques de ransomwares en 2022.
L'analyse d'Ivanti a montré que les opérateurs de ransomwares ont exploité un total de 344 vulnérabilités uniques lors d'attaques l'année dernière, soit une augmentation de 56 par rapport à 2021. Sur ce total, 76 % des failles dataient de 2019 ou d'avant. Les vulnérabilités les plus anciennes de l'ensemble étaient en fait trois bogues d'exécution de code à distance (RCE) de 2012 dans les produits Oracle : CVE-2012-1710 dans le middleware Oracle Fusion et CVE-2012-1723 et les CVE-2012-4681 dans l'environnement d'exécution Java.
Srinivas Mukkamala, Chief Product Officer d'Ivanti, déclare que si les données montrent que les opérateurs de ransomwares ont militarisé de nouvelles vulnérabilités plus rapidement que jamais l'année dernière, beaucoup ont continué à s'appuyer sur d'anciennes vulnérabilités qui n'ont pas encore été corrigées sur les systèmes d'entreprise.
"Les failles plus anciennes exploitées sont un sous-produit de la complexité et de la nature chronophage des correctifs", déclare Mukkamala. "C'est pourquoi les organisations doivent adopter une approche de gestion des vulnérabilités basée sur les risques pour hiérarchiser les correctifs afin de pouvoir remédier aux vulnérabilités qui présentent le plus de risques pour leur organisation."
Les plus grandes menaces
Parmi les vulnérabilités qu'Ivanti a identifiées comme présentant le plus grand danger, il y en avait 57 que l'entreprise a décrites comme offrant aux acteurs de la menace des capacités pour exécuter l'intégralité de leur mission. Il s'agissait de vulnérabilités qui permettaient à un attaquant d'obtenir un accès initial, d'obtenir la persistance, d'élever les privilèges, d'échapper aux défenses, d'accéder aux informations d'identification, de découvrir les actifs qu'il pourrait rechercher, de se déplacer latéralement, de collecter des données et d'exécuter la mission finale.
Les trois bogues Oracle de 2012 faisaient partie des 25 vulnérabilités de cette catégorie datant de 2019 ou d'une version antérieure. Exploits contre trois d'entre eux (CVE-2017-18362, CVE-2017-6884, et les CVE-2020-36195) dans les produits de ConnectWise, Zyxel et QNAP, respectivement, ne sont actuellement pas détectés par les scanners, a déclaré Ivanti.
Une pluralité (11) des vulnérabilités de la liste qui offraient une chaîne d'exploitation complète provenaient d'une mauvaise validation des entrées. Parmi les autres causes courantes de vulnérabilités, citons les problèmes de traversée de chemin, l'injection de commandes du système d'exploitation, les erreurs d'écriture hors limites et l'injection SQL.
Les défauts largement répandus sont les plus populaires
Les acteurs des ransomwares avaient également tendance à préférer les failles qui existent sur plusieurs produits. L'un des plus populaires d'entre eux était CVE-2018-3639, un type de vulnérabilité spéculative du canal latéral qu'Intel a révélé en 2018. La vulnérabilité existe dans 345 produits de 26 fournisseurs, explique Mukkamala. D'autres exemples incluent CVE-2021-4428, la fameuse faille Log4Shell, qu'au moins six groupes de rançongiciels exploitent actuellement. La faille fait partie de celles qu'Ivanti a trouvées parmi les acteurs de la menace aussi récemment qu'en décembre 2022. Elle existe dans au moins 176 produits de 21 fournisseurs, dont Oracle, Red Hat, Apache, Novell et Amazon.
Deux autres vulnérabilités privilégiées par les opérateurs de rançongiciels en raison de leur prévalence généralisée sont CVE-2018-5391 dans le noyau Linux et CVE-2020-1472, une faille critique d'élévation des privilèges dans Microsoft Netlogon. Au moins neuf gangs de rançongiciels, y compris ceux derrière Babuk, CryptoMix, Conti, DarkSide et Ryuk, ont utilisé la faille, et elle continue de gagner en popularité parmi d'autres également, a déclaré Ivanti.
Au total, la sécurité a révélé que quelque 118 vulnérabilités qui ont été utilisées dans des attaques de ransomwares l'année dernière étaient des failles qui existaient sur plusieurs produits.
"Les acteurs de la menace sont très intéressés par les failles présentes dans la plupart des produits", déclare Mukkamala.
Aucun sur la liste CISA
Notamment, 131 des 344 failles que les attaquants de rançongiciels ont exploitées l'année dernière ne sont pas incluses dans la base de données KEV (Known Exploited Vulnerabilities) suivie de près par la US Cybersecurity and Infrastructure Security Agency. La base de données répertorie les failles logicielles que les acteurs de la menace exploitent activement et que la CISA évalue comme étant particulièrement risquées. La CISA exige des agences fédérales qu'elles corrigent les vulnérabilités répertoriées dans la base de données en priorité et généralement dans un délai de deux semaines environ.
"Il est significatif que ceux-ci ne figurent pas dans le KEV de CISA car de nombreuses organisations utilisent le KEV pour hiérarchiser les correctifs", déclare Mukkamala. Cela montre que si KEV est une ressource solide, il ne fournit pas une vue complète de toutes les vulnérabilités utilisées dans les attaques de ransomwares, dit-il.
Ivanti a découvert que 57 vulnérabilités utilisées dans des attaques de ransomware l'année dernière par des groupes tels que LockBit, Conti et BlackCat avaient des scores de gravité faible et moyenne dans la base de données nationale des vulnérabilités. Le danger : cela pourrait endormir les organisations qui utilisent le score pour donner la priorité aux correctifs dans un faux sentiment de sécurité, a déclaré le fournisseur de sécurité.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
- 11
- 2012
- 2018
- 2019
- 2021
- 2022
- 7
- a
- accès
- atteindre
- à travers
- activement
- acteurs
- propos
- à opposer à
- agences
- agence
- Tous
- Amazon
- parmi
- selon une analyse de l’Université de Princeton
- et les
- et infrastructure
- Apache
- une approche
- Outils
- Attaques
- Mal
- basé
- base
- car
- before
- derrière
- va
- Le plus grand
- bogues
- capacités
- Catégories
- les causes
- chaîne
- chef
- chef de produit
- clair
- étroitement
- code
- recueillir
- Commun
- communément
- Société
- par rapport
- complet
- complexité
- Conti
- a continué
- continue
- pourriez
- Lettres de créance
- critique
- Lecture
- cyber
- la cyber-sécurité
- Cybersécurité
- DANGER
- données
- Base de données
- Décembre
- décrit
- détecté
- découvrez
- Entreprise
- Tout
- Environment
- Erreurs
- notamment
- établir
- JAMAIS
- exemples
- exécuter
- exécution
- exécution
- existe
- Exploiter
- Exploités
- exploits
- plus rapide
- National
- finale
- défaut
- défauts
- suivi
- trouvé
- De
- plein
- la fusion
- Gain
- Les gangs
- plus
- Groupes
- chapeau
- HTML
- HTTPS
- identifié
- in
- en profondeur
- comprendre
- inclus
- Y compris
- Améliore
- infâme
- Infrastructure
- initiale
- contribution
- Intel
- Intelligence
- intéressé
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- Java
- connu
- Nom
- L'année dernière
- linux
- Liste
- Listé
- Liste
- Log4Shell
- Style
- recherchez-
- Majorité
- gestion
- de nombreuses
- Microsoft
- pourrait
- Mission
- missions
- (en fait, presque toutes)
- Le Plus Populaire
- Bougez
- plusieurs
- Nationales
- Nature
- Besoin
- Nouveauté
- nist
- présenté
- offrant
- Offres Speciales
- Financier
- Vieux
- plus vieux
- ONE
- opérateurs
- oracle
- de commander
- organisation
- organisations
- OS
- Autre
- Autres
- propre
- Patches
- patcher
- chemin
- persistance
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- popularité
- préfère
- représentent
- répandue
- Prioriser
- priorité
- privilèges
- Produit
- Produits
- fournir
- QNAP
- ransomware
- Attaques de ransomware
- récemment
- Rouge
- Red Hat
- rester
- éloigné
- rapport
- a besoin
- ressource
- Révélé
- Analyse
- Risqué
- Ryuk
- Saïd
- dit
- sécurité
- sens
- set
- plusieurs
- Spectacles
- significative
- SIX
- So
- Logiciels
- solide
- quelques
- Encore
- tel
- Système
- Prenez
- équipe
- Le
- leur
- cette semaine
- menace
- acteurs de la menace
- des menaces
- trois
- long
- à
- Total
- Trend
- tendances
- expérience unique et authentique
- us
- utilisé
- d'habitude
- validation
- vendeur
- fournisseurs
- Voir
- vmware
- vulnérabilités
- vulnérabilité
- semaine
- Semaines
- qui
- tout en
- WHO
- répandu
- dans les
- vos contrats
- écrire
- an
- années
- zéphyrnet
