A maioria dos ataques de ransomware no ano passado explorou bugs antigos

Muitas vulnerabilidades que os operadores de ransomware usaram nos ataques de 2022 já existiam há anos e abriram caminho para que os invasores estabelecessem persistência e se movessem lateralmente para executar suas missões.

As vulnerabilidades, em produtos da Microsoft, Oracle, VMware, F5, SonicWall e vários outros fornecedores, apresentam um perigo claro e presente para as organizações que ainda não as corrigiram, revelou um novo relatório da Ivanti esta semana.

Vulns antigos ainda populares

O relatório de Ivanti é baseado em um análise de dados de sua própria equipe de inteligência de ameaças e da Securin, Cyber ​​Security Works e Cyware. Ele oferece uma análise aprofundada das vulnerabilidades que os malfeitores comumente exploravam em ataques de ransomware em 2022.

A análise de Ivanti mostrou que os operadores de ransomware exploraram um total de 344 vulnerabilidades únicas em ataques no ano passado – um aumento de 56 em comparação com 2021. Desse total, surpreendentes 76% das falhas foram de 2019 ou antes. As vulnerabilidades mais antigas do conjunto eram, na verdade, três bugs de execução remota de código (RCE) de 2012 nos produtos da Oracle: CVE-2012-1710 no middleware Oracle Fusion e CVE-2012-1723 e CVE-2012-4681 no Java Runtime Environment.

Srinivas Mukkamala, diretor de produtos da Ivanti, diz que, embora os dados mostrem que os operadores de ransomware armaram novas vulnerabilidades mais rápido do que nunca no ano passado, muitos continuaram a confiar em vulnerabilidades antigas que permanecem sem correção nos sistemas corporativos. 

“As falhas mais antigas sendo exploradas são um subproduto da complexidade e da natureza demorada dos patches”, diz Mukkamala. “É por isso que as organizações precisam adotar uma abordagem de gerenciamento de vulnerabilidade baseada em risco para priorizar os patches, para que possam corrigir as vulnerabilidades que representam o maior risco para sua organização.”

As maiores ameaças

Entre as vulnerabilidades que a Ivanti identificou como apresentando o maior perigo estavam 57 que a empresa descreveu como oferecendo recursos aos agentes de ameaças para executar toda a sua missão. Essas eram vulnerabilidades que permitiam a um invasor obter acesso inicial, obter persistência, escalar privilégios, escapar de defesas, acessar credenciais, descobrir ativos que poderiam estar procurando, mover-se lateralmente, coletar dados e executar a missão final.

Os três bugs do Oracle de 2012 estavam entre as 25 vulnerabilidades nesta categoria que eram de 2019 ou anteriores. Exploits contra três deles (CVE-2017-18362, CVE-2017-6884, e CVE-2020-36195) em produtos da ConnectWise, Zyxel e QNAP, respectivamente, não estão sendo detectados pelos scanners, disse Ivanti.

Uma pluralidade (11) das vulnerabilidades na lista que oferecia uma cadeia de exploração completa resultou de validação de entrada imprópria. Outras causas comuns de vulnerabilidades incluem problemas de path traversal, injeção de comandos do sistema operacional, erros de gravação fora dos limites e injeção de SQL. 

Defeitos amplamente prevalentes são os mais populares

Os agentes de ransomware também tendem a preferir falhas existentes em vários produtos. Um dos mais populares entre eles foi CVE-2018-3639, um tipo de vulnerabilidade especulativa de canal lateral que a Intel divulgou em 2018. A vulnerabilidade existe em 345 produtos de 26 fornecedores, diz Mukkamala. Outros exemplos incluem CVE-2021-4428, a infame falha do Log4Shell, que pelo menos seis grupos de ransomware estão explorando atualmente. A falha está entre as que Ivanti encontrou em alta entre os agentes de ameaças em dezembro de 2022. Ela existe em pelo menos 176 produtos de 21 fornecedores, incluindo Oracle, Red Hat, Apache, Novell e Amazon.

Duas outras vulnerabilidades que os operadores de ransomware favorecem por causa de sua ampla prevalência são CVE-2018-5391 no kernel do Linux e CVE-2020-1472, uma falha crítica de elevação de privilégio no Microsoft Netlogon. Pelo menos nove gangues de ransomware, incluindo aquelas por trás de Babuk, CryptoMix, Conti, DarkSide e Ryuk, usaram a falha, e continua a ser uma tendência em popularidade entre outras também, disse Ivanti.

No total, a segurança descobriu que cerca de 118 vulnerabilidades usadas em ataques de ransomware no ano passado eram falhas existentes em vários produtos.

“Atores de ameaças estão muito interessados ​​em falhas que estão presentes na maioria dos produtos”, diz Mukkamala.

Nenhum na lista CISA

Notavelmente, 131 das 344 falhas que os invasores de ransomware exploraram no ano passado não estão incluídas no banco de dados de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e Infraestrutura dos EUA. O banco de dados lista as falhas de software que os agentes de ameaças estão explorando ativamente e que a CISA avalia como sendo especialmente arriscadas. A CISA exige que as agências federais lide com as vulnerabilidades listadas no banco de dados de forma prioritária e geralmente dentro de duas semanas ou mais.

“É significativo que eles não estejam no KEV da CISA porque muitas organizações usam o KEV para priorizar patches”, diz Mukkamala. Isso mostra que, embora o KEV seja um recurso sólido, ele não fornece uma visão completa de todas as vulnerabilidades usadas em ataques de ransomware, diz ele.

Ivanti descobriu que 57 vulnerabilidades usadas em ataques de ransomware no ano passado por grupos como LockBit, Conti e BlackCat tiveram pontuações de gravidade baixa e média no banco de dados nacional de vulnerabilidades. O perigo: isso pode acalmar as organizações que usam a pontuação para priorizar o patch em uma falsa sensação de segurança, disse o fornecedor de segurança.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain