Molte vulnerabilità utilizzate dagli operatori di ransomware negli attacchi del 2022 erano vecchie di anni e hanno spianato la strada agli aggressori per stabilire la persistenza e spostarsi lateralmente per eseguire le loro missioni.
Le vulnerabilità, nei prodotti Microsoft, Oracle, VMware, F5, SonicWall e molti altri fornitori, rappresentano un pericolo chiaro e presente per le organizzazioni che non le hanno ancora risolte, ha rivelato questa settimana un nuovo rapporto di Ivanti.
I vecchi Vulns sono ancora popolari
Il rapporto di Ivanti si basa su un analisi dei dati dal proprio team di intelligence sulle minacce e da quelli di Securin, Cyber Security Works e Cyware. Offre uno sguardo approfondito alle vulnerabilità che i malintenzionati hanno comunemente sfruttato negli attacchi ransomware nel 2022.
L'analisi di Ivanti ha mostrato che lo scorso anno gli operatori di ransomware hanno sfruttato un totale di 344 vulnerabilità uniche negli attacchi, con un aumento di 56 rispetto al 2021. Di questi, un sorprendente 76% dei difetti proveniva dal 2019 o prima. Le vulnerabilità più vecchie del set erano infatti tre bug di esecuzione di codice remoto (RCE) del 2012 nei prodotti Oracle: CVE-2012-1710 nel middleware Oracle Fusion e CVE-2012-1723 ed CVE-2012-4681 nel Java Runtime Environment.
Srinivas Mukkamala, chief product officer di Ivanti, afferma che mentre i dati mostrano che gli operatori di ransomware hanno armato le nuove vulnerabilità più velocemente che mai lo scorso anno, molti hanno continuato a fare affidamento su vecchie vulnerabilità che rimangono senza patch sui sistemi aziendali.
"I difetti più vecchi che vengono sfruttati sono un sottoprodotto della complessità e della natura dispendiosa in termini di tempo delle patch", afferma Mukkamala. "Questo è il motivo per cui le organizzazioni devono adottare un approccio di gestione delle vulnerabilità basato sul rischio per dare la priorità alle patch in modo da poter rimediare alle vulnerabilità che rappresentano il rischio maggiore per la loro organizzazione".
Le maggiori minacce
Tra le vulnerabilità che Ivanti ha identificato come maggiormente pericolose c'erano 57 che la società ha descritto come capaci di offrire agli attori delle minacce le capacità per eseguire l'intera missione. Si trattava di vulnerabilità che consentono a un utente malintenzionato di ottenere l'accesso iniziale, ottenere persistenza, aumentare i privilegi, eludere le difese, accedere alle credenziali, scoprire le risorse che potrebbero cercare, spostarsi lateralmente, raccogliere dati ed eseguire la missione finale.
I tre bug Oracle del 2012 erano tra le 25 vulnerabilità in questa categoria che risalivano al 2019 o precedenti. Exploit contro tre di loro (CVE-2017-18362, CVE-2017-6884, ed CVE-2020-36195) nei prodotti ConnectWise, Zyxel e QNAP, rispettivamente, non vengono attualmente rilevati dagli scanner, ha affermato Ivanti.
Una pluralità (11) di vulnerabilità nell'elenco che offriva una catena di exploit completa derivava da una convalida dell'input non corretta. Altre cause comuni di vulnerabilità includevano problemi di attraversamento del percorso, iniezione di comandi del sistema operativo, errori di scrittura fuori limite e iniezione SQL.
I difetti ampiamente diffusi sono i più popolari
Gli attori del ransomware tendevano anche a preferire i difetti che esistono in più prodotti. Uno dei più popolari tra loro era CVE-2018-3639, un tipo di vulnerabilità speculativa del canale laterale che Intel ha rivelato nel 2018. La vulnerabilità esiste in 345 prodotti di 26 fornitori, afferma Mukkamala. Altri esempi includono CVE-2021-4428, il famigerato difetto di Log4Shell, che almeno sei gruppi di ransomware stanno attualmente sfruttando. Il difetto è tra quelli che Ivanti ha trovato di tendenza tra gli attori delle minacce fino a dicembre 2022. Esiste in almeno 176 prodotti di 21 fornitori tra cui Oracle, Red Hat, Apache, Novell e Amazon.
Altre due vulnerabilità che gli operatori di ransomware prediligono per la loro diffusione diffusa sono CVE-2018-5391 nel kernel Linux e CVE-2020-1472, un difetto critico di elevazione dei privilegi in Microsoft Netlogon. Almeno nove bande di ransomware, tra cui quelle dietro Babuk, CryptoMix, Conti, DarkSide e Ryuk, hanno utilizzato il difetto e continua a guadagnare popolarità anche tra gli altri, ha affermato Ivanti.
In totale, la sicurezza ha rilevato che circa 118 vulnerabilità utilizzate negli attacchi ransomware lo scorso anno erano difetti esistenti in più prodotti.
"Gli attori delle minacce sono molto interessati ai difetti presenti nella maggior parte dei prodotti", afferma Mukkamala.
Nessuno presente nell'Elenco CISA
In particolare, 131 dei 344 difetti che gli aggressori ransomware hanno sfruttato lo scorso anno non sono inclusi nel database KEV (Known Exploited Vulnerabilities) della US Cybersecurity and Infrastructure Security Agency. Il database elenca i difetti del software che gli attori delle minacce stanno attivamente sfruttando e che CISA valuta come particolarmente rischiosi. CISA richiede alle agenzie federali di affrontare le vulnerabilità elencate nel database in via prioritaria e di solito entro due settimane circa.
"È significativo che questi non siano nel KEV di CISA perché molte organizzazioni utilizzano il KEV per dare priorità alle patch", afferma Mukkamala. Ciò dimostra che mentre KEV è una risorsa solida, non fornisce una visione completa di tutte le vulnerabilità utilizzate negli attacchi ransomware, afferma.
Ivanti ha scoperto che 57 vulnerabilità utilizzate negli attacchi ransomware lo scorso anno da gruppi come LockBit, Conti e BlackCat avevano punteggi di gravità bassa e media nel database nazionale delle vulnerabilità. Il pericolo: questo potrebbe cullare le organizzazioni che utilizzano il punteggio per dare la priorità alle patch in un falso senso di sicurezza, ha affermato il fornitore di sicurezza.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
- 11
- 2012
- 2018
- 2019
- 2021
- 2022
- 7
- a
- accesso
- Raggiungere
- operanti in
- attivamente
- attori
- indirizzo
- contro
- agenzie
- agenzia
- Tutti
- Amazon
- tra
- .
- ed
- e infrastruttura
- Apache
- approccio
- Attività
- attacchi
- Vasca
- basato
- base
- perché
- prima
- dietro
- essendo
- Maggiore
- bug
- funzionalità
- Categoria
- cause
- catena
- capo
- capo prodotto ufficiale
- pulire campo
- strettamente
- codice
- raccogliere
- Uncommon
- comunemente
- azienda
- rispetto
- completamento di una
- complessità
- Conti
- continua
- continua
- potuto
- Credenziali
- critico
- Attualmente
- Cyber
- sicurezza informatica
- Cybersecurity
- PERICOLO
- dati
- Banca Dati
- Dicembre
- descritta
- rilevato
- scopri
- Impresa
- Intero
- Ambiente
- errori
- particolarmente
- stabilire
- EVER
- Esempi
- eseguire
- esecuzione
- esecuzione
- esiste
- Sfruttare
- Exploited
- gesta
- più veloce
- Federale
- finale
- difetto
- difetti
- seguito
- essere trovato
- da
- pieno
- fusione
- Guadagno
- Gangs
- maggiore
- Gruppo
- ha
- HTML
- HTTPS
- identificato
- in
- Uno sguardo approfondito sui miglioramenti dei pneumatici da corsa di Bridgestone.
- includere
- incluso
- Compreso
- Aumento
- infame
- Infrastruttura
- inizialmente
- ingresso
- Intel
- Intelligence
- interessato
- sicurezza
- IT
- Java
- conosciuto
- Cognome
- L'anno scorso
- linux
- Lista
- elencati
- elenchi
- Log4Shell
- Guarda
- cerca
- Maggioranza
- gestione
- molti
- Microsoft
- forza
- Missione
- missioni
- maggior parte
- Più popolare
- cambiano
- multiplo
- il
- Natura
- Bisogno
- New
- nista
- offerto
- offerta
- Offerte
- Responsabile
- Vecchio
- il più vecchio
- ONE
- Operatori
- oracolo
- minimo
- organizzazione
- organizzazioni
- OS
- Altro
- Altri
- proprio
- Patch
- patching
- sentiero
- persistenza
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- popolarità
- preferire
- presenti
- atleta
- Dare priorità
- priorità
- privilegi
- Prodotto
- Prodotti
- fornire
- QNAP
- ransomware
- Attacchi ransomware
- recentemente
- Rosso
- Red Hat
- rimanere
- a distanza
- rapporto
- richiede
- risorsa
- Rivelato
- Rischio
- Rischioso
- Ryuk
- Suddetto
- dice
- problemi di
- senso
- set
- alcuni
- Spettacoli
- significativa
- SIX
- So
- Software
- solido
- alcuni
- Ancora
- tale
- SISTEMI DI TRATTAMENTO
- Fai
- team
- Il
- loro
- questa settimana
- minaccia
- attori della minaccia
- minacce
- tre
- richiede tempo
- a
- Totale
- Trend
- trend
- unico
- us
- uso
- generalmente
- convalida
- venditore
- fornitori
- Visualizza
- vmware
- vulnerabilità
- vulnerabilità
- settimana
- Settimane
- quale
- while
- OMS
- molto diffuso
- entro
- lavori
- scrivere
- anno
- anni
- zefiro
