昨年のランサムウェア攻撃の大半は古いバグを悪用

ランサムウェア オペレーターが 2022 年の攻撃で使用した多くの脆弱性は何年も前のものであり、攻撃者がミッションを実行するために持続性を確立し、横方向に移動する道を開きました。

Microsoft、Oracle、VMware、F5、SonicWall、およびその他のいくつかのベンダーの製品の脆弱性は、まだ修正されていない組織に明確かつ現在の危険をもたらしていると、Ivanti の新しいレポートが今週明らかにしました。

古いヴァルンズはまだ人気があります

Ivanti のレポートは、 データの分析 独自の脅威インテリジェンス チームと、Securin、Cyber​​ Security Works、および Cyware のチームから。 2022 年に悪意のある人物がランサムウェア攻撃で一般的に悪用した脆弱性について詳しく説明しています。

Ivanti の分析によると、ランサムウェア オペレーターは昨年、攻撃で合計 344 の固有の脆弱性を悪用したことが示されました。これは、56 年と比較して 2021 の増加です。このうち、驚くべきことに、欠陥の 76% は 2019 年以前のものでした。 セット内の最も古い脆弱性は、実際には 2012 年に発生した Oracle 製品の XNUMX つのリモート コード実行 (RCE) バグでした。 CVE-2012-1710 Oracle Fusionミドルウェアおよび CVE-2012-1723 および CVE-2012-4681 Java ランタイム環境で。

Ivanti の最高製品責任者である Srinivas Mukkamala 氏は、ランサムウェア オペレーターが昨年よりも早く新しい脆弱性を兵器化したことをデータが示している一方で、多くは企業システムにパッチが適用されていない古い脆弱性に依存し続けていると述べています。 

「古い欠陥が悪用されるのは、パッチの複雑さと時間のかかる性質の副産物です」と Mukkamala 氏は言います。 「これが、組織に最もリスクをもたらす脆弱性を修正できるように、組織がリスクベースの脆弱性管理アプローチを採用してパッチに優先順位を付ける必要がある理由です。」

最大の脅威

Ivanti が最大の危険性を示していると特定した脆弱性の中には、57 の脆弱性があり、攻撃者がミッション全体を実行するための機能を提供していると同社は説明しています。 これらは、攻撃者が初期アクセスを取得し、永続化を達成し、権限をエスカレートし、防御を回避し、資格情報にアクセスし、探している可能性のある資産を発見し、横方向に移動し、データを収集し、最終的な任務を遂行することを可能にする脆弱性でした.

2012 年の 25 つの Oracle のバグは、2019 年以前のこのカテゴリの XNUMX の脆弱性に含まれていました。 それらのうちのXNUMXつに対するエクスプロイト（CVE-2017-18362, CVE-2017-6884、 および CVE-2020-36195) は、それぞれ ConnectWise、Zyxel、および QNAP の製品に含まれており、現在スキャナーによって検出されていないと Ivanti は述べています。

完全なエクスプロイト チェーンを提供するリスト内の複数 (11) の脆弱性は、不適切な入力検証に起因していました。 脆弱性のその他の一般的な原因には、パス トラバーサルの問題、OS コマンド インジェクション、境界外書き込みエラー、および SQL インジェクションが含まれます。 

広く普及している欠陥が最も人気があります

ランサムウェア攻撃者は、複数の製品に存在する欠陥を好む傾向もありました。 その中でも人気が高かったのが CVE-2018-3639、 ある種類の 投機的なサイドチャネルの脆弱性 Intel が 2018 年に公開した脆弱性は、345 のベンダーの 26 の製品に存在すると Mukkamala 氏は述べています。 その他の例としては、 CVE-2021-4428, 悪名高い Log4Shell の欠陥、少なくとも 2022 つのランサムウェア グループが現在悪用しています。 この欠陥は、最近 176 年 21 月に Ivanti が脅威アクターの間でトレンドになっていることを発見したものの XNUMX つです。この欠陥は、Oracle、Red Hat、Apache、Novell、Amazon を含む XNUMX のベンダーの少なくとも XNUMX の製品に存在します。

他に XNUMX つの脆弱性があるため、ランサムウェア オペレーターはその蔓延度が高いことから好んでいます。 CVE-2018-5391 Linux カーネルと CVE-2020-1472、Microsoft Netlogon の重大な権限昇格の欠陥。 Babuk、CryptoMix、Conti、DarkSide、Ryuk の背後にいる組織を含む少なくとも XNUMX つのランサムウェア ギャングがこの脆弱性を利用しており、他の組織でも同様に人気が高まっていると Ivanti は述べています。

全体として、セキュリティは、昨年ランサムウェア攻撃で使用された約 118 の脆弱性が、複数の製品に存在する欠陥であることを発見しました。

「脅威アクターは、ほとんどの製品に存在する欠陥に非常に関心があります」と Mukkamala 氏は言います。

CISA リストにない

特に、ランサムウェアの攻撃者が昨年悪用した 131 の欠陥のうち 344 は、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシーが厳密に追跡している既知の悪用された脆弱性 (KEV) データベースに含まれていません。 このデータベースには、攻撃者が積極的に悪用しているソフトウェアの欠陥と、CISA が特に危険であると評価しているソフトウェアの欠陥がリストされています。 CISA は、連邦機関に対し、データベースに記載されている脆弱性に優先的に対処することを要求しており、通常は XNUMX 週間程度以内に対処する必要があります。

「多くの組織がパッチの優先順位付けに KEV を使用しているため、これらが CISA の KEV にないことは重要です」と Mukkamala 氏は言います。 これは、KEV が確かなリソースである一方で、ランサムウェア攻撃で使用されているすべての脆弱性を完全に把握できるわけではないことを示しています。

Ivanti は、LockBit、Conti、BlackCat などのグループによって昨年ランサムウェア攻撃で使用された 57 の脆弱性が、国の脆弱性データベースで低および中の重大度スコアを持っていることを発見しました。 危険: これにより、スコアを使用してパッチ適用を優先する組織が誤った安心感を抱く可能性があると、セキュリティ ベンダーは述べています。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain