작년 랜섬웨어 공격의 대부분은 오래된 버그를 악용했습니다.

2022년 공격에서 랜섬웨어 운영자가 사용한 많은 취약점은 공격자가 지속성을 설정하고 임무를 수행하기 위해 측면으로 이동할 수 있는 길을 열었습니다.

이번 주 Ivanti의 새로운 보고서에 따르면 Microsoft, Oracle, VMware, F5, SonicWall 및 기타 여러 공급업체의 제품에 있는 취약점은 아직 문제를 해결하지 않은 조직에 명백하고 현존하는 위험을 제시합니다.

오래된 Vulns는 여전히 인기가 있습니다.

Ivanti의 보고서는 데이터 분석 자체 위협 인텔리전스 팀과 Securin, Cyber ​​Security Works 및 Cyware의 팀에서 제공합니다. 2022년 랜섬웨어 공격에서 악의적인 공격자가 일반적으로 악용하는 취약점에 대한 심층적인 정보를 제공합니다.

Ivanti의 분석에 따르면 랜섬웨어 운영자는 작년 공격에서 총 344개의 고유한 취약점을 악용했으며, 이는 56년에 비해 2021개가 증가한 것입니다. 이 중 놀랍게도 76%의 결함이 2019년 이전에 발생했습니다. 이 세트에서 가장 오래된 취약점은 사실 2012년 Oracle 제품의 원격 코드 실행(RCE) 버그 XNUMX개였습니다. CVE-2012-1710 Oracle Fusion 미들웨어 및 CVE-2012-1723 및 CVE-2012-4681 자바 런타임 환경에서.

Ivanti의 최고 제품 책임자인 Srinivas Mukkamala는 데이터에 따르면 랜섬웨어 운영자는 작년보다 더 빠르게 새로운 취약점을 무기화했지만 많은 기업 시스템에서 패치되지 않은 오래된 취약점에 계속 의존했습니다. 

무카말라는 "오래된 결함이 악용되는 것은 패치의 복잡성과 시간 소모적 특성의 부산물"이라고 말했습니다. "이것이 조직이 조직에 가장 큰 위험을 초래하는 취약성을 수정할 수 있도록 패치의 우선 순위를 지정하기 위해 위험 기반 취약성 관리 접근 방식을 취해야 하는 이유입니다."

가장 큰 위협

Ivanti가 가장 큰 위험을 나타내는 것으로 식별한 취약점 중에는 위협 행위자가 전체 임무를 수행할 수 있는 기능을 제공한다고 설명된 57개의 취약점이 있습니다. 이들은 공격자가 초기 액세스 권한을 얻고, 지속성을 달성하고, 권한을 에스컬레이션하고, 방어를 회피하고, 자격 증명에 액세스하고, 찾고 있는 자산을 검색하고, 측면으로 이동하고, 데이터를 수집하고, 최종 임무를 실행할 수 있는 취약점이었습니다.

2012년에 발생한 25개의 Oracle 버그는 2019년 이전에 발생한 이 범주의 XNUMX개 취약점 중 하나였습니다. 그들 중 세 가지에 대한 악용 (CVE-2017-18362, CVE-2017-6884, 및 CVE-2020-36195)는 각각 ConnectWise, Zyxel 및 QNAP의 제품에서 현재 스캐너에서 감지되지 않고 있다고 Ivanti는 말했습니다.

완전한 익스플로잇 체인을 제공하는 목록에 있는 취약점 중 다수(11개)는 부적절한 입력 유효성 검사에서 비롯되었습니다. 취약점에 대한 다른 일반적인 원인에는 경로 순회 문제, OS 명령 주입, 범위를 벗어난 쓰기 오류 및 SQL 주입이 포함됩니다. 

널리 퍼진 결함이 가장 인기 있음

또한 랜섬웨어 행위자는 여러 제품에 걸쳐 존재하는 결함을 선호하는 경향이 있습니다. 그 중 가장 인기 있었던 것 중 하나는 CVE-2018-3639, 유형 추측성 부채널 취약성 무카말라는 인텔이 2018년에 공개한 취약점이 345개 공급업체의 26개 제품에 존재한다고 말했습니다. 다른 예는 다음과 같습니다. CVE-2021-4428, 악명 높은 Log4Shell 결함, 최소 2022개의 랜섬웨어 그룹이 현재 악용하고 있습니다. 이 결함은 Ivanti가 최근 176년 21월까지 위협 행위자 사이에서 추세를 발견한 결함 중 하나입니다. 이 결함은 Oracle, Red Hat, Apache, Novell 및 Amazon을 포함한 XNUMX개 공급업체의 최소 XNUMX개 제품에 존재합니다.

널리 퍼지기 때문에 랜섬웨어 운영자가 선호하는 두 가지 다른 취약점은 다음과 같습니다. CVE-2018-5391 리눅스 커널에서 CVE-2020-1472, Microsoft Netlogon의 중요한 권한 상승 결함입니다. Ivanti는 Babuk, CryptoMix, Conti, DarkSide 및 Ryuk의 배후를 포함하여 최소 XNUMX개의 랜섬웨어 갱단이 이 결함을 사용했으며 다른 사람들 사이에서도 계속해서 인기를 끌고 있다고 말했습니다.

보안팀은 지난해 랜섬웨어 공격에 사용된 약 118개의 취약점이 여러 제품에 존재하는 결함임을 발견했습니다.

무카말라는 “위협 행위자들은 대부분의 제품에 존재하는 결함에 매우 관심이 많습니다.

CISA 목록에 없음

특히 작년에 랜섬웨어 공격자가 악용한 131개의 결함 중 344개는 미국 사이버 보안 및 인프라 보안국의 KEV(Known Exploited Vulnerabilities) 데이터베이스에 포함되어 있지 않습니다. 데이터베이스에는 위협 행위자가 적극적으로 악용하고 CISA가 특히 위험하다고 평가하는 소프트웨어 결함이 나열됩니다. CISA는 연방 기관이 데이터베이스에 나열된 취약점을 우선 순위에 따라 일반적으로 XNUMX주 정도 이내에 해결하도록 요구합니다.

“많은 조직에서 KEV를 사용하여 패치의 우선 순위를 지정하기 때문에 CISA의 KEV에 이러한 항목이 없다는 것이 중요합니다.”라고 Mukkamala는 말합니다. 이는 KEV가 견고한 리소스이지만 랜섬웨어 공격에 사용되는 모든 취약점에 대한 전체 보기를 제공하지 않는다는 것을 보여줍니다.

Ivanti는 작년에 LockBit, Conti 및 BlackCat과 같은 그룹이 랜섬웨어 공격에 사용한 57개의 취약점이 국가 취약성 데이터베이스에서 심각도가 낮거나 중간인 것을 발견했습니다. 위험: 이것은 점수를 사용하여 잘못된 보안 감각으로 패치의 우선 순위를 지정하는 조직을 진정시킬 수 있다고 보안 벤더는 말했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain