Večina lanskoletnih napadov izsiljevalske programske opreme je izkoriščala stare hrošče

Številne ranljivosti, ki so jih operaterji izsiljevalske programske opreme uporabili v napadih leta 2022, so bile stare več let in so napadalcem utrle pot, da so vzpostavili vztrajnost in se premikali bočno, da bi izvedli svoje naloge.

Ranljivosti v izdelkih Microsoft, Oracle, VMware, F5, SonicWall in več drugih proizvajalcev predstavljajo jasno in trenutno nevarnost za organizacije, ki jih še niso odpravile, je ta teden razkrilo novo poročilo podjetja Ivanti.

Stari vulni še vedno priljubljeni

Ivantijevo poročilo temelji na an analiza podatkov od lastne skupine za obveščanje o grožnjah ter od tistih v Securinu, Cyber ​​Security Works in Cyware. Ponuja poglobljen vpogled v ranljivosti, ki so jih slabi akterji pogosto izrabljali v napadih z izsiljevalsko programsko opremo leta 2022.

Ivantijeva analiza je pokazala, da so operaterji izsiljevalske programske opreme lani v napadih izkoristili skupno 344 edinstvenih ranljivosti – kar je povečanje za 56 v primerjavi z letom 2021. Od tega je bilo presenetljivih 76 % napak iz leta 2019 ali prej. Najstarejše ranljivosti v nizu so bile v resnici tri napake oddaljenega izvajanja kode (RCE) iz leta 2012 v izdelkih Oracle: CVE-2012-1710 v vmesni programski opremi Oracle Fusion in CVE-2012-1723 in CVE-2012-4681 v izvajalnem okolju Java.

Srinivas Mukkamala, Ivantijev glavni produktni direktor, pravi, da medtem ko podatki kažejo, da so operaterji izsiljevalskih programov nove ranljivosti uporabljali hitreje kot kdaj koli prej, so se mnogi še naprej zanašali na stare ranljivosti, ki v sistemih podjetij ostajajo nepopravljene. 

»Izkoriščanje starejših napak je stranski produkt kompleksnosti in dolgotrajnosti popravkov,« pravi Mukkamala. "Zato morajo organizacije sprejeti pristop k upravljanju ranljivosti, ki temelji na tveganju, da dajo prednost popravkom, tako da lahko odpravijo ranljivosti, ki predstavljajo največje tveganje za njihovo organizacijo."

Največje grožnje

Med ranljivostmi, ki jih je Ivanti opredelil kot največjo nevarnost, je bilo 57, ki jih je podjetje opisalo kot ponujanje akterjem groženj zmogljivosti za izvajanje njihove celotne misije. To so bile ranljivosti, ki napadalcu omogočajo pridobitev začetnega dostopa, doseganje obstojnosti, stopnjevanje privilegijev, izogibanje obrambi, dostop do poverilnic, odkrivanje sredstev, ki jih morda iščejo, premikanje stransko, zbiranje podatkov in izvedbo končne misije.

Trije hrošči Oracle iz leta 2012 so bili med 25 ranljivostmi v tej kategoriji, ki so bile iz leta 2019 ali starejše. Izkorišča proti trem izmed njih (CVE-2017-18362, CVE-2017-6884, in CVE-2020-36195) v izdelkih ConnectWise, Zyxel oziroma QNAP trenutno ne zaznajo skenerji, je dejal Ivanti.

Množica (11) ranljivosti na seznamu, ki je ponujala celotno verigo izkoriščanja, izvira iz nepravilnega preverjanja vnosa. Drugi pogosti vzroki za ranljivosti so vključevali težave s prečkanjem poti, vbrizgavanje ukazov OS, napake pri pisanju zunaj meja in vbrizgavanje SQL. 

Široko razširjene napake so najbolj priljubljene

Tudi akterji izsiljevalske programske opreme so imeli raje napake, ki obstajajo v več izdelkih. Eden najbolj priljubljenih med njimi je bil CVE-2018-3639, vrsta špekulativna ranljivost stranskega kanala ki ga je Intel razkril leta 2018. Ranljivost obstaja v 345 izdelkih 26 prodajalcev, pravi Mukkamala. Drugi primeri vključujejo CVE-2021-4428, zloglasno napako Log4Shell, ki ga trenutno izkorišča najmanj šest skupin izsiljevalskih programov. Napaka je med tistimi, za katere je Ivanti ugotovil, da so v trendu med akterji groženj šele decembra 2022. Obstaja v vsaj 176 izdelkih 21 prodajalcev, vključno z Oracle, Red Hat, Apache, Novell in Amazon.

Dve drugi ranljivosti, ki ju operaterji izsiljevalske programske opreme dajejo prednost zaradi svoje široke razširjenosti, sta CVE-2018-5391 v jedru Linuxa in CVE-2020-1472, kritična napaka pri povečanju privilegijev v Microsoft Netlogon. Vsaj devet združb z izsiljevalsko programsko opremo, vključno s tistimi, ki stojijo za Babuk, CryptoMix, Conti, DarkSide in Ryuk, je uporabilo to napako in še naprej postaja vse bolj priljubljena tudi med drugimi, je dejal Ivanti.

Skupaj je varnost ugotovila, da je približno 118 ranljivosti, ki so bile lani uporabljene v napadih z izsiljevalsko programsko opremo, pomanjkljivosti, ki so obstajale v več izdelkih.

»Akterji groženj so zelo zainteresirani za napake, ki so prisotne v večini izdelkov,« pravi Mukkamala.

Ni na seznamu CISA

Predvsem 131 od 344 napak, ki so jih napadalci izsiljevalske programske opreme izkoristili lani, ni vključenih v bazo podatkov Known Exploited Vulnerabilities (KEV), ki jo pozorno spremlja Agencija ZDA za kibernetsko varnost in varnost infrastrukture. Baza podatkov navaja programske napake, ki jih akterji groženj aktivno izkoriščajo in ki jih CISA ocenjuje kot posebej tvegane. CISA od zveznih agencij zahteva, da obravnavajo ranljivosti, navedene v bazi podatkov, prednostno in običajno v približno dveh tednih.

»Pomembno je, da teh ni v KEV CISA, ker številne organizacije uporabljajo KEV za določanje prednosti popravkov,« pravi Mukkamala. To kaže, da čeprav je KEV trden vir, ne zagotavlja popolnega vpogleda v vse ranljivosti, ki se uporabljajo v napadih z izsiljevalsko programsko opremo, pravi.

Ivanti je ugotovil, da je imelo 57 ranljivosti, ki so jih skupine, kot so LockBit, Conti in BlackCat, lani uporabljene v napadih z izsiljevalsko programsko opremo, v nacionalni zbirki podatkov o ranljivosti ocenjene z nizko in srednjo resnostjo. Nevarnost: to bi lahko zazibalo organizacije, ki uporabljajo rezultat za dajanje prednosti popravkom, v lažen občutek varnosti, je dejal prodajalec varnosti.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain