Mayoritas Serangan Ransomware Tahun Lalu Mengeksploitasi Bug Lama

Banyak kerentanan yang digunakan operator ransomware pada serangan 2022 sudah berumur bertahun-tahun dan membuka jalan bagi penyerang untuk membangun kegigihan dan bergerak secara lateral untuk menjalankan misi mereka.

Kerentanan, dalam produk dari Microsoft, Oracle, VMware, F5, SonicWall, dan beberapa vendor lainnya, menghadirkan bahaya yang jelas dan nyata bagi organisasi yang belum memperbaikinya, sebuah laporan baru dari Ivanti mengungkapkan minggu ini.

Vulns Lama Masih Populer

Laporan Ivanti didasarkan pada sebuah analisis data dari tim intelijen ancamannya sendiri dan dari mereka yang ada di Securin, Cyber ​​Security Works, dan Cyware. Ini menawarkan pandangan mendalam tentang kerentanan yang biasanya dieksploitasi oleh aktor jahat dalam serangan ransomware pada tahun 2022.

Analisis Ivanti menunjukkan bahwa operator ransomware mengeksploitasi total 344 kerentanan unik dalam serangan tahun lalu—meningkat 56 dibandingkan tahun 2021. Dari jumlah tersebut, 76% kelemahan yang mengejutkan berasal dari tahun 2019 atau sebelumnya. Kerentanan tertua di kumpulan sebenarnya adalah tiga bug eksekusi kode jarak jauh (RCE) dari 2012 di produk Oracle: CVE-2012-1710 di middleware Oracle Fusion dan CVE-2012-1723 dan CVE-2012-4681 di Lingkungan Runtime Java.

Srinivas Mukkamala, chief product officer Ivanti, mengatakan bahwa sementara data menunjukkan operator ransomware mempersenjatai kerentanan baru lebih cepat dari sebelumnya tahun lalu, banyak yang terus mengandalkan kerentanan lama yang tetap belum diperbaiki pada sistem perusahaan. 

“Kelemahan lama yang dieksploitasi adalah produk sampingan dari kerumitan dan sifat tambalan yang memakan waktu,” kata Mukkamala. “Inilah mengapa organisasi perlu mengambil pendekatan manajemen kerentanan berbasis risiko untuk memprioritaskan tambalan sehingga mereka dapat memulihkan kerentanan yang menimbulkan risiko paling besar bagi organisasi mereka.”

Ancaman Terbesar

Di antara kerentanan yang diidentifikasi Ivanti sebagai menghadirkan bahaya terbesar adalah 57 yang digambarkan perusahaan menawarkan kemampuan pelaku ancaman untuk menjalankan seluruh misi mereka. Ini adalah kerentanan yang memungkinkan penyerang mendapatkan akses awal, mencapai kegigihan, meningkatkan hak istimewa, menghindari pertahanan, mengakses kredensial, menemukan aset yang mungkin mereka cari, bergerak secara lateral, mengumpulkan data, dan menjalankan misi terakhir.

Tiga bug Oracle dari tahun 2012 termasuk di antara 25 kerentanan dalam kategori ini yang berasal dari tahun 2019 atau lebih. Eksploitasi terhadap tiga dari mereka (CVE-2017-18362, CVE-2017-6884, dan CVE-2020-36195) dalam produk dari ConnectWise, Zyxel, dan QNAP, masing-masing, saat ini tidak terdeteksi oleh pemindai, kata Ivanti.

Sejumlah (11) kerentanan dalam daftar yang menawarkan rantai eksploitasi lengkap berasal dari validasi input yang tidak tepat. Penyebab umum lainnya untuk kerentanan termasuk masalah traversal jalur, injeksi perintah OS, kesalahan tulis di luar batas, dan injeksi SQL. 

Cacat yang Sering Terjadi Adalah Yang Paling Populer

Pelaku ransomware juga cenderung lebih menyukai kekurangan yang ada di berbagai produk. Salah satu yang paling populer di antara mereka adalah CVE-2018-3639, tipe dari kerentanan side-channel spekulatif yang diungkapkan Intel pada 2018. Kerentanan ada di 345 produk dari 26 vendor, kata Mukkamala. Contoh lain termasuk CVE-2021-4428, cacat Log4Shell yang terkenal, yang saat ini dieksploitasi oleh setidaknya enam grup ransomware. Cacat tersebut adalah salah satu yang menurut Ivanti menjadi tren di kalangan pelaku ancaman baru-baru ini pada Desember 2022. Cacat tersebut ada di setidaknya 176 produk dari 21 vendor termasuk Oracle, Red Hat, Apache, Novell, dan Amazon.

Dua kerentanan lain yang disukai operator ransomware karena prevalensinya yang meluas adalah CVE-2018-5391 di kernel Linux dan CVE-2020-1472, peningkatan kritis dari kelemahan hak istimewa di Microsoft Netlogon. Setidaknya sembilan geng ransomware termasuk yang berada di belakang Babuk, CryptoMix, Conti, DarkSide, dan Ryuk, telah menggunakan kelemahan tersebut, dan terus menjadi tren popularitas di antara yang lain, kata Ivanti.

Secara total, keamanan menemukan bahwa sekitar 118 kerentanan yang digunakan dalam serangan ransomware tahun lalu adalah kelemahan yang ada di beberapa produk.

“Aktor ancaman sangat tertarik dengan kekurangan yang ada di sebagian besar produk,” kata Mukkamala.

Tidak ada di Daftar CISA

Khususnya, 131 dari 344 kelemahan yang dieksploitasi penyerang ransomware tahun lalu tidak termasuk dalam basis data Known Exploited Vulnerabilities (KEV) Badan Keamanan Siber dan Infrastruktur AS yang diikuti dengan cermat. Basis data mencantumkan kelemahan perangkat lunak yang dieksploitasi secara aktif oleh pelaku ancaman dan yang dinilai CISA sebagai sangat berisiko. CISA mewajibkan lembaga federal untuk mengatasi kerentanan yang tercantum dalam database berdasarkan prioritas dan biasanya dalam waktu dua minggu atau lebih.

“Penting bahwa ini tidak ada dalam KEV CISA karena banyak organisasi menggunakan KEV untuk memprioritaskan tambalan,” kata Mukkamala. Itu menunjukkan bahwa meskipun KEV adalah sumber daya yang solid, itu tidak memberikan pandangan penuh tentang semua kerentanan yang digunakan dalam serangan ransomware, katanya.

Ivanti menemukan bahwa 57 kerentanan yang digunakan dalam serangan ransomware tahun lalu oleh grup seperti LockBit, Conti, dan BlackCat, memiliki skor keparahan rendah dan sedang dalam database kerentanan nasional. Bahayanya: ini bisa menidurkan organisasi yang menggunakan skor untuk memprioritaskan penambalan menjadi rasa aman yang palsu, kata vendor keamanan tersebut.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain