Pelanggaran yang melibatkan phishing dan kompromi kredensial telah mendapat banyak perhatian dalam beberapa tahun terakhir karena seberapa sering pelaku ancaman menggunakan taktik tersebut dalam mengeksekusi serangan terarah dan oportunistik. Tetapi itu tidak berarti bahwa organisasi perusahaan dapat mengurangi fokus mereka pada penambalan kerentanan sedikit pun.
Sebuah laporan dari Kaspersky minggu ini mengidentifikasi lebih banyak intrusi awal tahun lalu yang dihasilkan dari eksploitasi kerentanan dalam aplikasi yang terhubung ke Internet daripada pelanggaran yang melibatkan email jahat dan akun yang dikompromikan. bergabung. Dan data yang dikumpulkan perusahaan hingga kuartal kedua tahun 2022 menunjukkan tren yang sama mungkin juga terjadi tahun ini.
Analisis Kaspersky tentang tahun 2021 data respons insiden menunjukkan bahwa pelanggaran yang melibatkan eksploitasi kerentanan melonjak dari 31.5% dari semua insiden pada tahun 2020 menjadi 53.6% pada tahun 2021. Selama periode yang sama, serangan yang terkait dengan penggunaan akun yang disusupi untuk mendapatkan akses awal menurun dari 31.6% pada tahun 2020 menjadi 17.9% % tahun lalu. Gangguan awal akibat email phishing menurun dari 23.7% menjadi 14.3% selama periode yang sama.
Kelemahan Exchange Server Memicu Frenzy Eksploitasi
Kaspersky mengaitkan lonjakan aktivitas eksploit tahun lalu sebagai kemungkinan terkait dengan beberapa kerentanan Exchange Server kritis yang diungkapkan Microsoft, termasuk serangkaian empat hari nol pada Maret 2021 yang dikenal sebagai Kelemahan ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). Saat dirantai bersama, mereka mengizinkan penyerang untuk mendapatkan kendali jarak jauh penuh atas Server Exchange lokal.
Penyerang - termasuk geng kriminal terorganisir dan kelompok yang disponsori negara dari China - dengan cepat mengeksploitasi puluhan ribu sistem Exchange Server yang rentan dan menjatuhkan cangkang Web pada mereka sebelum Microsoft dapat mengeluarkan tambalan untuk kekurangan tersebut. Kerentanan menimbulkan kekhawatiran yang cukup besar karena di mana-mana dan tingkat keparahannya. Mereka bahkan mendorong Departemen Kehakiman AS untuk mengizinkan FBI mengambil langkah yang belum pernah terjadi sebelumnya secara proaktif menghapus shell Web ProxyLogon dari server milik ratusan organisasi โ dalam banyak kasus, tanpa pemberitahuan apa pun.
Yang juga mendorong aktivitas eksploit pada tahun 2021 adalah trio kerentanan Exchange Server lainnya secara kolektif diberi label ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) yang digunakan penyerang secara ekstensif untuk menjatuhkan ransomware dan dalam serangan kompromi email bisnis (BEC).
Lebih dari setahun kemudian, kerentanan ProxyLogon dan ProxyShell terus menjadi target aktivitas eksploit berat, kata Konstantin Sapronov, kepala Tim Tanggap Darurat Global Kaspersky. Salah satu yang paling parah dari kekurangan ini (CVE-2021-26855) juga menjadi yang paling ditargetkan. Kaspersky mengamati kerentanan โ bagian dari rangkaian ProxyLogon โ dieksploitasi dalam 22.7% dari semua insiden yang melibatkan eksploitasi kerentanan yang ditanggapinya pada tahun 2021, dan kelemahan tersebut terus menjadi favorit di antara penyerang tahun ini juga, menurut Sapronov.
Tren Eksploitasi yang Sama Kemungkinan Terjadi di 2022
Meskipun beberapa kerentanan serius telah muncul tahun ini โ termasuk kerentanan Apache Log4j di mana-mana (CVE-2021-44228) โ kerentanan yang paling banyak dieksploitasi pada tahun 2021 tetap sangat lazim pada tahun 2022 juga, kata Sapronov, bahkan di luar bug server Exchange. Misalnya, Kaspersky mengidentifikasi cacat pada mesin peramban Microsoft MSHTML (CVE-2021-40444, ditambal September lalu) sebagai yang paling kerentanan yang diserang berat pada kuartal kedua tahun 2022.
โKerentanan dalam perangkat lunak populer seperti MS Exchange Server dan library Log4j telah mengakibatkan sejumlah besar serangan,โ catat Sapronov. โSaran kami untuk pelanggan perusahaan adalah memperhatikan masalah manajemen tambalan.โ
Saatnya Memprioritaskan Patching
Yang lain telah mencatat lonjakan serupa dalam aktivitas eksploitasi kerentanan. Pada bulan April, peneliti dari tim riset ancaman Unit 42 Jaringan Palo Alto mencatat bagaimana 31%, atau hampir satu dari tiga insiden, mereka telah menganalisis hingga saat itu pada tahun 2022 melibatkan eksploitasi kerentanan. Lebih dari setengah (55%) dari jumlah tersebut, pelaku ancaman telah menargetkan ProxyShell.
Peneliti Palo Alto juga menemukan pelaku ancaman biasanya memindai sistem dengan kelemahan yang baru saja diungkapkan beberapa menit setelah CVE diumumkan. Dalam satu contoh, mereka mengamati cacat pemintas autentikasi pada alat jaringan F5 (CVE-2022-1388) yang ditargetkan 2,552 kali dalam 10 jam pertama setelah pengungkapan kerentanan.
Aktivitas Pasca Eksploitasi Sulit Ditemukan
Analisis Kaspersky terhadap data respons insidennya menunjukkan bahwa di hampir 63% kasus, penyerang berhasil tetap tidak terdeteksi di jaringan selama lebih dari sebulan setelah mendapatkan entri awal. Dalam banyak kasus, ini karena penyerang menggunakan alat dan kerangka kerja yang sah seperti PowerShell, Mimikatz, dan PsExec untuk mengumpulkan data, meningkatkan hak istimewa, dan menjalankan perintah.
Ketika seseorang dengan cepat menyadari adanya pelanggaran, itu biasanya karena penyerang telah menciptakan kerusakan yang nyata, seperti saat serangan ransomware. โSangat mudah untuk mendeteksi serangan ransomware saat data Anda dienkripsi, karena layanan tidak tersedia, dan Anda memiliki catatan tebusan di monitor Anda,โ kata Sapronov.
Namun ketika targetnya adalah data perusahaan, penyerang membutuhkan lebih banyak waktu untuk menjelajahi jaringan korban untuk mengumpulkan informasi yang diperlukan. Dalam kasus seperti itu, penyerang bertindak lebih diam-diam dan hati-hati, yang membuat serangan semacam ini lebih sulit dideteksi. โUntuk mendeteksi kasus seperti itu, kami menyarankan untuk menggunakan tumpukan alat keamanan dengan telemetri seperti extended detection and response (EDR) dan menerapkan aturan untuk mendeteksi alat pervasif yang digunakan oleh musuh,โ katanya.
Mike Parkin, insinyur teknis senior di Vulcan Cyber, mengatakan hal yang nyata untuk organisasi perusahaan adalah bahwa penyerang akan mengambil setiap kesempatan yang mereka bisa untuk menembus jaringan.
โDengan berbagai kerentanan yang dapat dieksploitasi, tidak mengherankan melihat peningkatan,โ katanya. Apakah jumlahnya lebih tinggi untuk kerentanan atas serangan kredensial yang direkayasa secara sosial, sulit untuk dikatakan, catatnya.
โTapi intinya adalah pelaku ancaman akan menggunakan eksploitasi yang berhasil. Jika ada eksploitasi kode jarak jauh baru pada beberapa layanan Windows, mereka akan berduyun-duyun ke sana dan melanggar sebanyak mungkin sistem sebelum tambalan keluar atau aturan firewall diterapkan, โkatanya.
Tantangan sebenarnya adalah kerentanan jangka panjang: Yang lebih tua, seperti ProxyLogon, dengan sistem rentan yang terlewatkan atau diabaikan, kata Parkin, menambahkan bahwa penambalan harus menjadi prioritas.
