A zsarolóvírus-támadások többsége tavaly a régi hibákat használta ki

A ransomware-operátorok által a 2022-es támadásokban használt számos sebezhetőség éves volt, és megnyitotta az utat a támadók számára, hogy kitartsanak, és oldalirányban mozogjanak küldetéseik végrehajtása érdekében.

A Microsoft, az Oracle, a VMware, az F5, a SonicWall és számos más gyártó termékeiben található sérülékenységek egyértelmű és aktuális veszélyt jelentenek azoknak a szervezeteknek, amelyek még nem orvosolták ezeket – derült ki az Ivanti e heti új jelentéséből.

A régi Vulns továbbra is népszerű

Ivanti jelentése egy adatok elemzése saját fenyegetés-felderítő csapatától, valamint a Securin, a Cyber ​​Security Works és a Cyware munkatársaitól. Mélyreható áttekintést nyújt azokról a sebezhetőségekről, amelyeket a rossz szereplők 2022-ben általában kihasználtak a zsarolóvírus-támadások során.

Ivanti elemzése kimutatta, hogy a zsarolóprogram-üzemeltetők tavaly összesen 344 egyedi sebezhetőséget használtak ki támadások során – ez 56-os növekedés 2021-hez képest. Ebből a hibák megdöbbentő 76%-a 2019-ből vagy azelőtt származott. A készlet legrégebbi sebezhetősége valójában három távoli kódvégrehajtási (RCE) hiba volt 2012-ből az Oracle termékeiben: CVE-2012 1710- az Oracle Fusion köztes szoftverben és CVE-2012 1723- és a CVE-2012 4681- a Java Runtime Environment-ben.

Srinivas Mukkamala, az Ivanti termékigazgatója azt mondja, hogy bár az adatok azt mutatják, hogy a zsarolóprogramok üzemeltetői minden korábbinál gyorsabban fegyvereztek fel új sebezhetőséget tavaly, sokan továbbra is a régi sebezhetőségekre hagyatkoztak, amelyeket a vállalati rendszereken nem javítottak ki. 

„A régebbi hibák kihasználása a javítások összetettségének és időigényes természetének mellékterméke” – mondja Mukkamala. „Ez az oka annak, hogy a szervezeteknek kockázatalapú sebezhetőség-kezelési megközelítést kell alkalmazniuk a javítások prioritása érdekében, hogy orvosolhassák azokat a sebezhetőségeket, amelyek a legnagyobb kockázatot jelentik szervezetükre.”

A legnagyobb veszélyek

Az Ivanti által a legnagyobb veszélyt jelentő sérülékenységek közül 57 volt, amelyekről a vállalat leírása szerint a fenyegetés szereplőinek képességeket kínálnak teljes küldetésük végrehajtásához. Ezek olyan sebezhetőségek voltak, amelyek lehetővé teszik a támadó számára a kezdeti hozzáférés megszerzését, a kitartás elérését, a jogosultságok kiterjesztését, a védelmet, a hitelesítő adatokhoz való hozzáférést, a keresett eszközök felfedezését, oldalirányú mozgást, adatgyűjtést és a végső küldetés végrehajtását.

A három 2012-es Oracle-hiba ebben a kategóriában a 25 sérülékenység között szerepelt, amelyek 2019-ből vagy régebbiek voltak. Kizsákmányolás három ellen (CVE-2017 18362-, CVE-2017-6884, és a CVE-2020 36195-) a ConnectWise, a Zyxel és a QNAP termékeiben jelenleg nem észlelik a szkennerek, mondta Ivanti.

A listában található sebezhetőségek közül több (11), amelyek teljes kihasználási láncot kínáltak, nem megfelelő beviteli ellenőrzésből ered. A sérülékenységek egyéb gyakori okai közé tartoznak az útvonal bejárási problémái, az operációs rendszer parancsinjektálása, a határokon kívüli írási hibák és az SQL-befecskendezés. 

A széles körben elterjedt hibák a legnépszerűbbek

A zsarolóvírus-szereplők hajlamosak voltak előnyben részesíteni a több termékben is előforduló hibákat. Az egyik legnépszerűbb közülük az volt CVE-2018-3639, egy fajta spekulatív oldalcsatorna sebezhetőség Mukkamala szerint a biztonsági rés 2018 gyártó 345 termékében található. További példák közé tartozik CVE-2021 4428-, a hírhedt Log4Shell hiba, amelyet jelenleg legalább hat ransomware csoport használ ki. A hiba azok közé tartozik, amelyeket Ivanti még 2022 decemberében is felkapottnak talált a fenyegetettség szereplői között. 176 gyártó legalább 21 termékében létezik, köztük az Oracle, a Red Hat, az Apache, a Novell és az Amazon.

Két másik sebezhetőség, amelyet a zsarolóvírus-kezelők előnyben részesítettek széleskörű elterjedtségük miatt: CVE-2018 5391- a Linux kernelben és CVE-2020 1472-, a Microsoft Netlogon jogosultságainak kritikus megemelése. Legalább kilenc zsarolóvírus-banda, köztük a Babuk, a CryptoMix, a Conti, a DarkSide és a Ryuk mögött állók, használta a hibát, és továbbra is népszerűsége a többi között, mondta Ivanti.

Összességében a biztonsági szolgálat megállapította, hogy a tavalyi évben a zsarolóvírus-támadások során használt mintegy 118 sebezhetőség több termékben is előfordult.

„A fenyegetés szereplőit nagyon érdeklik a legtöbb termékben előforduló hibák” – mondja Mukkamala.

Egyik sem szerepel a CISA-listán

A ransomware-támadók által tavaly kihasznált 131 hiba közül 344 nem szerepel az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége által szorosan követett Known Exploited Vulnerabilities (KEV) adatbázisban. Az adatbázis felsorolja azokat a szoftverhibákat, amelyeket a fenyegetés szereplői aktívan kihasználnak, és amelyeket a CISA különösen kockázatosnak értékel. A CISA előírja a szövetségi ügynökségeknek, hogy kiemelten kezeljék az adatbázisban felsorolt ​​sebezhetőségeket, általában két héten belül.

„Fontos, hogy ezek nem szerepelnek a CISA KEV-jében, mert sok szervezet a KEV-t használja a javítások fontossági sorrendjének meghatározására” – mondja Mukkamala. Ez azt mutatja, hogy bár a KEV megbízható erőforrás, nem ad teljes képet a ransomware támadásokban használt összes sebezhetőségről, mondja.

Ivanti megállapította, hogy a LockBit, a Conti és a BlackCat tavalyi zsarolóprogram-támadásai során használt 57 sebezhetőség alacsony és közepes súlyosságú a nemzeti sebezhetőségi adatbázisban. A veszély: ez elaltathatja azokat a szervezeteket, amelyek a pontozás alapján a hamis biztonságérzetet helyezik előtérbe – mondta a biztonsági szolgáltató.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain