Multe vulnerabilități pe care operatorii de ransomware le-au folosit în atacurile din 2022 erau vechi de ani și au deschis calea atacatorilor să stabilească persistența și să se miște lateral pentru a-și îndeplini misiunile.
Vulnerabilitățile, în produsele Microsoft, Oracle, VMware, F5, SonicWall și alți câțiva furnizori, prezintă un pericol clar și prezent pentru organizațiile care nu le-au remediat încă, a dezvăluit un nou raport al Ivanti în această săptămână.
Vulnii vechi sunt încă populari
Raportul lui Ivanti se bazează pe un analiza datelor de la propria echipă de informații despre amenințări și de la cei de la Securin, Cyber Security Works și Cyware. Oferă o privire aprofundată asupra vulnerabilităților pe care actorii răi le-au exploatat în mod obișnuit în atacurile ransomware în 2022.
Analiza lui Ivanti a arătat că operatorii de ransomware au exploatat un total de 344 de vulnerabilități unice în atacuri anul trecut – o creștere cu 56 față de 2021. Dintre acestea, 76% dintre defecte au fost din 2019 sau înainte. Cele mai vechi vulnerabilități din set au fost de fapt trei erori de execuție de cod la distanță (RCE) din 2012 în produsele Oracle: CVE-2012-1710 în middleware Oracle Fusion și CVE-2012-1723 și CVE-2012-4681 în mediul Java Runtime.
Srinivas Mukkamala, directorul de produs al Ivanti, spune că, în timp ce datele arată că operatorii de ransomware au armat noi vulnerabilități mai repede decât oricând anul trecut, mulți au continuat să se bazeze pe vechile vulnerabilități care rămân necorecte pe sistemele întreprinderii.
„Defectele mai vechi care sunt exploatate este un produs secundar al complexității și naturii consumatoare de timp a patch-urilor”, spune Mukkamala. „De aceea organizațiile trebuie să adopte o abordare de gestionare a vulnerabilităților bazată pe riscuri pentru a prioritiza patch-urile, astfel încât să poată remedia vulnerabilitățile care prezintă cel mai mare risc pentru organizația lor.”
Cele mai mari amenințări
Printre vulnerabilitățile pe care Ivanti le-a identificat ca prezentând cel mai mare pericol s-au numărat 57 pe care compania le-a descris ca oferind actorilor amenințări capabilități pentru a-și executa întreaga misiune. Acestea au fost vulnerabilități care permit unui atacator să obțină acces inițial, să obțină persistență, să escaladeze privilegii, să evite apărarea, să acceseze acreditările, să descopere activele pe care le-ar putea căuta, să se deplaseze lateral, să colecteze date și să execute misiunea finală.
Cele trei erori Oracle din 2012 au fost printre cele 25 de vulnerabilități din această categorie, care au fost din 2019 sau mai vechi. Exploatări împotriva a trei dintre ei (CVE-2017-18362, CVE-2017-6884, și CVE-2020-36195) din produsele ConnectWise, Zyxel și, respectiv, QNAP, nu sunt detectate în prezent de scanere, a spus Ivanti.
O pluralitate (11) dintre vulnerabilitățile din listă care au oferit un lanț complet de exploatare au rezultat din validarea incorectă a intrărilor. Alte cauze comune pentru vulnerabilități au inclus probleme de traversare a căilor, injectarea comenzii sistemului de operare, erorile de scriere în afara limitelor și injectarea SQL.
Defectele larg răspândite sunt cele mai populare
De asemenea, actorii ransomware au avut tendința de a prefera defecte care există în mai multe produse. Unul dintre cei mai populari dintre ei a fost CVE-2018-3639, un tip de vulnerabilitatea speculativă a canalului lateral pe care Intel a dezvăluit-o în 2018. Vulnerabilitatea există în 345 de produse de la 26 de furnizori, spune Mukkamala. Alte exemple includ CVE-2021-4428, infamul defect Log4Shell, pe care cel puțin șase grupuri de ransomware îl exploatează în prezent. Defectul se numără printre cele pe care Ivanti le-a găsit tendințe printre actorii amenințărilor chiar în decembrie 2022. Există în cel puțin 176 de produse de la 21 de furnizori, inclusiv Oracle, Red Hat, Apache, Novell și Amazon.
Alte două vulnerabilități favorizate de operatorii de ransomware din cauza prevalenței lor pe scară largă sunt CVE-2018-5391 în nucleul Linux și CVE-2020-1472, o defecțiune critică a privilegiilor în Microsoft Netlogon. Cel puțin nouă bande de ransomware, inclusiv cele din spatele Babuk, CryptoMix, Conti, DarkSide și Ryuk, au folosit defectul și continuă să aibă o tendință de popularitate printre altele, a spus Ivanti.
În total, securitatea a constatat că aproximativ 118 vulnerabilități care au fost folosite în atacurile ransomware anul trecut au fost defecte care existau în mai multe produse.
„Actorii de amenințări sunt foarte interesați de defectele care sunt prezente în majoritatea produselor”, spune Mukkamala.
Niciunul pe lista CISA
În mod remarcabil, 131 dintre cele 344 de defecte pe care atacatorii ransomware le-au exploatat anul trecut nu sunt incluse în baza de date a Agenției pentru Securitate Cibernetică și Securitate a Infrastructurii din SUA, urmărită îndeaproape, a Known Exploited Vulnerabilities (KEV). Baza de date enumeră defecte software pe care actorii amenințărilor le exploatează în mod activ și pe care CISA le evaluează ca fiind deosebit de riscante. CISA cere agențiilor federale să abordeze vulnerabilitățile enumerate în baza de date în mod prioritar și, de obicei, în aproximativ două săptămâni.
„Este semnificativ faptul că acestea nu sunt în KEV CISA, deoarece multe organizații folosesc KEV pentru a prioritiza patch-urile”, spune Mukkamala. Aceasta arată că, deși KEV este o resursă solidă, nu oferă o imagine completă a tuturor vulnerabilităților utilizate în atacurile ransomware, spune el.
Ivanti a descoperit că 57 de vulnerabilități utilizate în atacurile ransomware anul trecut de grupuri precum LockBit, Conti și BlackCat au avut scoruri de severitate scăzută și medie în baza de date națională a vulnerabilităților. Pericolul: acest lucru ar putea liniști organizațiile care folosesc scorul pentru a acorda prioritate corecțiilor într-un fals sentiment de securitate, a spus furnizorul de securitate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
- 11
- 2012
- 2018
- 2019
- 2021
- 2022
- 7
- a
- acces
- Obține
- peste
- activ
- actori
- adresa
- împotriva
- Agențiile
- agenție
- TOATE
- Amazon
- printre
- analiză
- și
- și infrastructură
- Apache
- abordare
- Bunuri
- Atacuri
- Rău
- bazat
- bază
- deoarece
- înainte
- în spatele
- fiind
- Cea mai mare
- gandaci
- capacități
- Categorii
- cauze
- lanţ
- şef
- director de produs
- clar
- îndeaproape
- cod
- colecta
- Comun
- în mod obișnuit
- companie
- comparație
- Completă
- complexitate
- Conti
- a continuat
- continuă
- ar putea
- scrisori de acreditare
- critic
- În prezent
- Cyber
- securitate cibernetică
- Securitate cibernetică
- PERICOL
- de date
- Baza de date
- decembrie
- descris
- detectat
- descoperi
- Afacere
- Întreg
- Mediu inconjurator
- Erori
- mai ales
- stabili
- EVER
- exemple
- a executa
- executând
- execuție
- există
- Exploata
- exploatat
- exploit
- mai repede
- federal
- final
- defect
- defecte
- a urmat
- găsit
- din
- Complet
- fuziune
- Câştig
- bandele
- cea mai mare
- Grupului
- pălărie
- HTML
- HTTPS
- identificat
- in
- în profunzime
- include
- inclus
- Inclusiv
- Crește
- infam
- Infrastructură
- inițială
- intrare
- Intel
- Inteligență
- interesat
- probleme de
- IT
- Java
- cunoscut
- Nume
- Anul trecut
- linux
- Listă
- listat
- liste
- Log4shell.
- Uite
- cautati
- Majoritate
- administrare
- multe
- Microsoft
- ar putea
- Misiune
- misiuni
- cele mai multe
- Cel mai popular
- muta
- multiplu
- național
- Natură
- Nevoie
- Nou
- nist
- oferit
- oferind
- promoții
- Ofiţer
- Vechi
- cele mai vechi
- ONE
- Operatorii
- oracol
- comandă
- organizație
- organizații
- OS
- Altele
- Altele
- propriu
- Patch-uri
- patching
- cale
- persistență
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- popularitate
- a prefera
- prezenta
- prevalent
- Prioritizarea
- prioritate
- privilegii
- Produs
- Produse
- furniza
- QNAP
- Ransomware
- Atacuri Ransomware
- recent
- Roșu
- Red Hat
- rămâne
- la distanta
- raportează
- Necesită
- resursă
- Dezvăluit
- Risc
- Riscant
- Ryuk
- Said
- spune
- securitate
- sens
- set
- câteva
- Emisiuni
- semnificativ
- SIX
- So
- Software
- solid
- unele
- Încă
- astfel de
- sisteme
- Lua
- echipă
- lor
- în această săptămână
- amenințare
- actori amenințători
- amenințări
- trei
- consumă timp
- la
- Total
- tendință
- trend
- unic
- us
- utilizare
- obișnuit
- validare
- vânzător
- furnizori
- Vizualizare
- VMware
- Vulnerabilitățile
- vulnerabilitate
- săptămână
- săptămâni
- care
- în timp ce
- OMS
- pe scară largă
- în
- fabrică
- scrie
- an
- ani
- zephyrnet
