ניצול פגיעות, לא דיוג, הם וקטור מתקפת הסייבר המובילים עבור מודיעין נתונים של PlatoBlockchain של פשרה ראשונית. חיפוש אנכי. איי.

ניצול פגיעות, לא דיוג, הם וקטור מתקפת הסייבר המובילים לפשרה ראשונית

חותמת זמן: 8 בספטמבר 2022 11:20

הפרות הכרוכות בהתחזות והתפשרות על אישורים זכו לתשומת לב רבה בשנים האחרונות בגלל התדירות שבה פעילי איומים השתמשו בטקטיקות בביצוע התקפות ממוקדות ואופורטוניסטיות כאחד. אבל זה לא אומר שארגונים ארגוניים יכולים להרשות לעצמם להפחית מעט את ההתמקדות שלהם בתיקון פגיעות.

דו"ח מקספרסקי זיהה השבוע יותר פריצות ראשוניות בשנה שעברה שנבעו מניצול של נקודות תורפה ביישומים הפונות לאינטרנט מאשר הפרות הכוללות מיילים זדוניים וחשבונות שנפגעו משולב. ונתונים שהחברה אספה במהלך הרבעון השני של 2022 מצביעים על כך שאותה מגמה עשויה להתחולל גם השנה.

הניתוח של קספרסקי לשנת 2021 נתוני תגובה לאירועים הראו שהפרות הכרוכות בניצול פגיעות זינקו מ-31.5% מכלל התקריות ב-2020 ל-53.6% ב-2021. במהלך אותה תקופה, התקפות הקשורות לשימוש בחשבונות שנפגעו כדי להשיג גישה ראשונית ירדו מ-31.6% ב-2020 ל-17.9. % שנה שעברה. הפריצות הראשוניות שנבעו מהודעות דיוג ירדו מ-23.7% ל-14.3% במהלך אותה תקופה.

פגמים בשרת Exchange מלבים את טירוף הניצול

קספרסקי ייחס את הזינוק בפעילות הניצול בשנה שעברה כקשור ככל הנראה לפגיעויות הקריטיות המרובות של Exchange Server שמיקרוסופט חשפה, כולל קבוצה של ארבעה ימי אפס במרץ 2021 הידועים בשם פגמים ב-ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065). כשהם קשורים זה לזה הם אפשרו לתוקפים להשיג שליטה מרחוק מלאה על שרתי Exchange מקומיים. 

התוקפים - שכללו כנופיות פשע מאורגנות וקבוצות בחסות המדינה מסין - ניצלו במהירות עשרות אלפי מערכות Exchange Server פגיעות והפילו עליהן קונכיות אינטרנט לפני שמיקרוסופט הצליחה להוציא תיקון לפגמים. הפגיעות עוררו דאגה רבה בגלל נוכחותן וחומרתן. הם אפילו הניעו את משרד המשפטים האמריקני לאשר ל-FBI לנקוט בצעד חסר תקדים של הסרה יזומה של קונכיות אינטרנט של ProxyLogon משרתים השייכים למאות ארגונים - ברוב המקרים, ללא כל הודעה.

כמו כן, הניע את פעילות הניצול בשנת 2021 הייתה שלישיית פרצות נוספת של Exchange Server שכותרתו קולקטיבית ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523) שתוקפים השתמשו בהם רבות כדי להפיל תוכנות כופר ובהתקפות דוא"ל עסקי (BEC).

יותר משנה לאחר מכן, פגיעויות ProxyLogon ו- ProxyShell ממשיכות להיות מטרות לפעילות ניצול כבד, אומר קונסטנטין ספרונוב, ראש צוות התגובה העולמי לשעת חירום של קספרסקי. אחד הפגמים החמורים ביותר (CVE-2021-26855) היה גם הממוקד ביותר. קספרסקי הבחינה בפגיעות - חלק ממערך ה-ProxyLogon - מנוצלת ב-22.7% מכל התקריות הכוללות ניצול פגיעות שהיא הגיבה אליה ב-2021, והפגם ממשיך להיות מועדף בקרב התוקפים גם השנה, לפי ספרונוב.

אותה מגמת ניצול צפויה להופיע ב-2022

למרות שכמה נקודות תורפה רציניות צצו השנה - כולל פגיעות של Apache Log4j בכל מקום (CVE-2021-44228) - הפגיעויות המנוצלות ביותר של 2021 נותרו נפוצות מאוד גם ב-2022, אומר ספרונוב, אפילו מעבר לבאגים של שרת Exchange. לדוגמה, קספרסקי זיהה פגם במנוע הדפדפן MSHTML של מיקרוסופט (CVE-2021-40444, תוקן בספטמבר האחרון) בתור הכי פגיעות מותקפות בכבדות ברבעון השני של 2022.

"פגיעויות בתוכנות פופולריות כמו MS Exchange Server והספרייה Log4j הביאו למספר עצום של התקפות", מציין ספרונוב. "העצה שלנו ללקוחות ארגוניים היא לשים לב לבעיות ניהול תיקונים."

הגיע הזמן לתת עדיפות לתיקון

אחרים ציינו עלייה דומה בפעילות ניצול פגיעות. באפריל, חוקרים מצוות מחקר האיומים ביחידה 42 של Palo Alto Networks ציינו כיצד 31%, או כמעט אחד מכל שלושה תקריות, הם ניתחו עד לאותה נקודה ב-2022 ניצול של פגיעות. בלמעלה ממחצית (55%) מהם, שחקני איומים תקפו את ProxyShell. 

חוקרי פאלו אלטו מצאו גם שחקני איומים סורקים בדרך כלל אחר מערכות עם פגם שזה עתה נחשף, ממש דקות לאחר הכרזת ה-CVE. באחד המקרים, הם הבחינו בפגם בעקיפה של אימות במכשיר רשת F5 (CVE-2022-1388) הממוקד 2,552 פעמים בעשר השעות הראשונות לאחר חשיפת הפגיעות.

קשה לזהות פעילות לאחר ניצול

ניתוח של קספרסקי של נתוני התגובה שלה לאירועים הראה כי בכמעט 63% מהמקרים, התוקפים הצליחו להישאר ללא תשומת לב ברשת במשך יותר מחודש לאחר שהושגו כניסה ראשונית. במקרים רבים, הסיבה לכך הייתה שהתוקפים השתמשו בכלים ובמסגרות לגיטימיות כגון PowerShell, Mimikatz ו- PsExec כדי לאסוף נתונים, להסלים הרשאות וביצוע פקודות. 

כאשר מישהו הבחין במהירות בפרצה, זה היה בדרך כלל בגלל שהתוקפים יצרו נזק ברור, כגון במהלך התקפת תוכנת כופר. "קל לזהות התקפת תוכנת כופר כשהנתונים שלך מוצפנים, מכיוון שהשירותים אינם זמינים ויש לך פתק כופר על המסך שלך", אומר ספרונוב.

אבל כשהמטרה היא נתונים של חברה, התוקפים זקוקים ליותר זמן כדי להסתובב ברשת של הקורבן כדי לאסוף מידע הכרחי. במקרים כאלה, התוקפים פועלים בגניבה ובזהירות יותר, מה שמקשה על זיהוי התקפות מסוג זה. "כדי לזהות מקרים כאלה, אנו מציעים להשתמש בערימת כלי אבטחה עם טלמטריה כמו זיהוי ותגובה מורחבת (EDR) וליישם כללים לזיהוי של כלים נרחבים המשמשים יריבים", הוא אומר.

מייק פרקין, מהנדס טכני בכיר בוולקן סייבר, אומר שהדרך האמיתית עבור ארגונים ארגוניים היא שתוקפים ינצלו כל הזדמנות שהם יכולים כדי לפרוץ רשת. 

"עם מגוון נקודות תורפה שניתנות לניצול, זה לא מפתיע לראות עלייה", הוא אומר. אם המספרים גבוהים יותר עבור פגיעויות על פני התקפות אישורים מהונדסים חברתית, קשה לומר, הוא מציין. 

"אבל השורה התחתונה היא ששחקני האיום ישתמשו במעללים שעובדים. אם יש ניצול חדש של קוד מרחוק בשירות Windows כלשהו, ​​הם ינהרו אליו ויפרו כמה שיותר מערכות לפני שהתיקונים יצאו או כללי חומת אש ייפרסו", הוא אומר.

האתגר האמיתי הוא פגיעויות הזנב הארוך: אלה ישנות יותר, כמו ProxyLogon, עם מערכות פגיעות שהחמיצו או התעלמו מהן, אומר פרקין, ומוסיף שהתיקון חייב להיות בראש סדר העדיפויות.

בול זמן:

עוד מ קריאה אפלה