ช่องโหว่จำนวนมากที่ผู้ให้บริการแรนซัมแวร์ใช้ในการโจมตีในปี 2022 นั้นมีอายุหลายปีและปูทางให้ผู้โจมตีสร้างการคงอยู่และย้ายไปด้านข้างเพื่อปฏิบัติภารกิจ
รายงานใหม่จาก Ivanti เปิดเผยในสัปดาห์นี้ว่าช่องโหว่ในผลิตภัณฑ์จาก Microsoft, Oracle, VMware, F5, SonicWall และผู้จำหน่ายรายอื่น ๆ นำเสนออันตรายที่ชัดเจนและนำเสนอต่อองค์กรที่ยังไม่ได้แก้ไข
ช่องโหว่เก่ายังคงเป็นที่นิยม
รายงานของ Ivanti อ้างอิงจาก การวิเคราะห์ข้อมูล จากทีมข่าวกรองภัยคุกคามของตนเองและจาก Securin, Cyber Security Works และ Cyware โดยนำเสนอข้อมูลเชิงลึกเกี่ยวกับช่องโหว่ที่ผู้ไม่ประสงค์ดีมักนำไปใช้ประโยชน์ในการโจมตีด้วยแรนซัมแวร์ในปี 2022
การวิเคราะห์ของ Ivanti แสดงให้เห็นว่าผู้ให้บริการแรนซัมแวร์ใช้ประโยชน์จากช่องโหว่ที่ไม่ซ้ำกันทั้งหมด 344 รายการในการโจมตีเมื่อปีที่แล้ว ซึ่งเพิ่มขึ้น 56 รายการเมื่อเทียบกับปี 2021 ในจำนวนนี้ 76% ของช่องโหว่ที่น่าตกใจมาจากปี 2019 หรือก่อนหน้านั้น ช่องโหว่ที่เก่าแก่ที่สุดในชุดนี้คือบั๊ก Remote Code Execution (RCE) สามรายการจากปี 2012 ในผลิตภัณฑ์ของ Oracle: CVE-2012-1710 ในมิดเดิลแวร์ Oracle Fusion และ CVE-2012-1723 และ CVE-2012-4681 ใน Java Runtime Environment
Srinivas Mukkamala ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Ivanti กล่าวว่าในขณะที่ข้อมูลแสดงให้เห็นว่าผู้ให้บริการแรนซัมแวร์สร้างช่องโหว่ใหม่ได้เร็วกว่าที่เคยในปีที่แล้ว แต่หลายคนยังคงพึ่งพาช่องโหว่เก่าที่ยังไม่ได้แพตช์ในระบบขององค์กร
Mukkamala กล่าวว่า "ข้อบกพร่องเก่า ๆ ถูกใช้ประโยชน์เป็นผลพลอยได้จากความซับซ้อนและใช้เวลานานของแพทช์" “นี่คือเหตุผลที่องค์กรต่างๆ ต้องใช้แนวทางการจัดการช่องโหว่ตามความเสี่ยงเพื่อจัดลำดับความสำคัญของแพตช์ เพื่อให้สามารถแก้ไขช่องโหว่ที่ก่อให้เกิดความเสี่ยงสูงสุดต่อองค์กรของตนได้”
ภัยคุกคามที่ใหญ่ที่สุด
ในบรรดาช่องโหว่ที่ Ivanti ระบุว่านำเสนออันตรายมากที่สุดนั้นมีอยู่ 57 รายการที่บริษัทอธิบายว่าให้ความสามารถของผู้คุกคามในการดำเนินภารกิจทั้งหมดของพวกเขา สิ่งเหล่านี้คือช่องโหว่ที่ทำให้ผู้โจมตีเข้าถึงได้ตั้งแต่เริ่มต้น, ได้รับคงอยู่, เพิ่มสิทธิ์, หลบเลี่ยงการป้องกัน, เข้าถึงข้อมูลประจำตัว, ค้นพบสินทรัพย์ที่พวกเขาอาจกำลังมองหา, ย้ายด้านข้าง, รวบรวมข้อมูล และดำเนินการภารกิจสุดท้าย
ข้อบกพร่องของ Oracle สามรายการจากปี 2012 เป็นหนึ่งในช่องโหว่ 25 รายการในหมวดหมู่นี้ที่มาจากปี 2019 หรือเก่ากว่านั้น เอาเปรียบพวกเขาสามคน (CVE-2017-18362, CVE-2017-6884, และ CVE-2020-36195) ในผลิตภัณฑ์จาก ConnectWise, Zyxel และ QNAP ตามลำดับ ยังไม่ถูกตรวจพบโดยสแกนเนอร์ Ivanti กล่าว
ช่องโหว่ส่วนใหญ่ (11) รายการในรายการที่เสนอช่องโหว่ที่สมบูรณ์นั้นเกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม สาเหตุทั่วไปอื่นๆ สำหรับช่องโหว่ ได้แก่ ปัญหาการผ่านเส้นทาง การแทรกคำสั่ง OS ข้อผิดพลาดในการเขียนนอกขอบเขต และการแทรก SQL
ข้อบกพร่องที่พบได้ทั่วไปเป็นที่นิยมมากที่สุด
นักเรียกค่าไถ่มักจะชอบข้อบกพร่องที่มีอยู่ในผลิตภัณฑ์หลายตัว หนึ่งในความนิยมมากที่สุดในหมู่พวกเขาคือ CVE-2018-3639, ประเภทของ ช่องโหว่ด้านช่องทางการเก็งกำไร ที่ Intel เปิดเผยในปี 2018 ช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ 345 รายการจากผู้ขาย 26 ราย Mukkamala กล่าว ตัวอย่างอื่นๆ ได้แก่ CVE-2021-4428, ข้อบกพร่อง Log4Shell ที่น่าอับอายซึ่งมีกลุ่มแรนซัมแวร์อย่างน้อย 2022 กลุ่มที่กำลังโจมตีอยู่ในขณะนี้ ข้อบกพร่องนี้เป็นหนึ่งในข้อบกพร่องที่ Ivanti พบว่ามีแนวโน้มในหมู่ผู้คุกคามในเดือนธันวาคม 176 โดยมีอยู่ในผลิตภัณฑ์อย่างน้อย 21 รายการจากผู้จำหน่าย XNUMX ราย รวมถึง Oracle, Red Hat, Apache, Novell และ Amazon
อีกสองช่องโหว่ที่ผู้ให้บริการแรนซั่มแวร์ชื่นชอบเนื่องจากความแพร่หลายคือ CVE-2018-5391 ในเคอร์เนล Linux และ CVE-2020-1472ซึ่งเป็นการยกระดับช่องโหว่ที่สำคัญใน Microsoft Netlogon แก๊งแรนซั่มแวร์อย่างน้อยเก้าตัวรวมถึงพวกที่อยู่เบื้องหลัง Babuk, CryptoMix, Conti, DarkSide และ Ryuk ได้ใช้ช่องโหว่นี้ และมันยังคงได้รับความนิยมในหมู่คนอื่นๆ ด้วยเช่นกัน Ivanti กล่าว
โดยรวมแล้ว การรักษาความปลอดภัยพบว่ามีช่องโหว่ประมาณ 118 รายการที่ใช้ในการโจมตีแรนซัมแวร์เมื่อปีที่แล้ว ซึ่งเป็นช่องโหว่ที่มีอยู่ในผลิตภัณฑ์หลายตัว
“ผู้คุกคามสนใจข้อบกพร่องที่มีอยู่ในผลิตภัณฑ์ส่วนใหญ่มาก” มุกกมลากล่าว
ไม่มีในรายการ CISA
โดยเฉพาะอย่างยิ่ง ข้อบกพร่อง 131 จาก 344 รายการที่ผู้โจมตีแรนซัมแวร์ใช้โจมตีในปีที่แล้วไม่รวมอยู่ในฐานข้อมูล Known Exploited Vulnerabilities (KEV) ของ US Cybersecurity and Infrastructure Security Agency ฐานข้อมูลแสดงรายการข้อบกพร่องของซอฟต์แวร์ที่ผู้คุกคามกำลังแสวงหาประโยชน์อย่างแข็งขัน และ CISA ประเมินว่ามีความเสี่ยงเป็นพิเศษ CISA กำหนดให้หน่วยงานของรัฐบาลกลางจัดการช่องโหว่ที่ระบุไว้ในฐานข้อมูลตามลำดับความสำคัญ และโดยปกติแล้วภายในสองสัปดาห์หรือมากกว่านั้น
“สิ่งสำคัญคือสิ่งเหล่านี้ไม่ได้อยู่ใน KEV ของ CISA เพราะหลายองค์กรใช้ KEV เพื่อจัดลำดับความสำคัญของแพตช์” Mukkamala กล่าว นั่นแสดงให้เห็นว่าแม้ว่า KEV จะเป็นทรัพยากรที่แข็งแกร่ง แต่ก็ไม่ได้ให้มุมมองที่สมบูรณ์ของช่องโหว่ทั้งหมดที่ถูกใช้ในการโจมตีแรนซัมแวร์ เขากล่าว
Ivanti พบว่าช่องโหว่ 57 รายการที่ใช้ในการโจมตีแรนซัมแวร์เมื่อปีที่แล้วโดยกลุ่มต่างๆ เช่น LockBit, Conti และ BlackCat มีคะแนนระดับความรุนแรงต่ำและปานกลางในฐานข้อมูลช่องโหว่ระดับชาติ อันตราย: สิ่งนี้อาจทำให้องค์กรที่ใช้คะแนนเพื่อจัดลำดับความสำคัญของแพตช์ไปสู่ความรู้สึกผิดๆ ของการรักษาความปลอดภัย ผู้จำหน่ายความปลอดภัยกล่าว
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
- 11
- 2012
- 2018
- 2019
- 2021
- 2022
- 7
- a
- เข้า
- บรรลุ
- ข้าม
- อย่างกระตือรือร้น
- นักแสดง
- ที่อยู่
- กับ
- หน่วยงานที่
- บริษัท ตัวแทน
- ทั้งหมด
- อเมซอน
- ในหมู่
- การวิเคราะห์
- และ
- และโครงสร้างพื้นฐาน
- อาปาเช่
- เข้าใกล้
- สินทรัพย์
- การโจมตี
- ไม่ดี
- ตาม
- รากฐาน
- เพราะ
- ก่อน
- หลัง
- กำลัง
- ที่ใหญ่ที่สุด
- เป็นโรคจิต
- ความสามารถในการ
- หมวดหมู่
- สาเหตุที่
- โซ่
- หัวหน้า
- หัวหน้าเจ้าหน้าที่ฝ่ายผลิตภัณฑ์
- ชัดเจน
- อย่างใกล้ชิด
- รหัส
- รวบรวม
- ร่วมกัน
- อย่างธรรมดา
- บริษัท
- เมื่อเทียบกับ
- สมบูรณ์
- ความซับซ้อน
- คอนติ
- อย่างต่อเนื่อง
- อย่างต่อเนื่อง
- ได้
- หนังสือรับรอง
- วิกฤติ
- ขณะนี้
- ไซเบอร์
- การรักษาความปลอดภัยในโลกไซเบอร์
- cybersecurity
- อันตราย
- ข้อมูล
- ฐานข้อมูล
- ธันวาคม
- อธิบาย
- ตรวจพบ
- ค้นพบ
- Enterprise
- ทั้งหมด
- สิ่งแวดล้อม
- ข้อผิดพลาด
- โดยเฉพาะอย่างยิ่ง
- สร้าง
- เคย
- ตัวอย่าง
- ดำเนินการ
- การดำเนินงาน
- การปฏิบัติ
- ที่มีอยู่
- เอาเปรียบ
- ใช้ประโยชน์
- การหาประโยชน์
- เร็วขึ้น
- รัฐบาลกลาง
- สุดท้าย
- ข้อบกพร่อง
- ข้อบกพร่อง
- ตาม
- พบ
- ราคาเริ่มต้นที่
- เต็ม
- การผสม
- ได้รับ
- แก๊ง
- ใหญ่ที่สุด
- กลุ่ม
- หมวก
- HTML
- HTTPS
- ระบุ
- in
- ลึกซึ้ง
- ประกอบด้วย
- รวม
- รวมทั้ง
- เพิ่ม
- น่าอับอาย
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- อินพุต
- อินเทล
- Intelligence
- สนใจ
- ปัญหา
- IT
- ชวา
- ที่รู้จักกัน
- ชื่อสกุล
- ปีที่แล้ว
- ลินุกซ์
- รายการ
- จดทะเบียน
- รายการ
- Log4Shell
- ดู
- ที่ต้องการหา
- ส่วนใหญ่
- การจัดการ
- หลาย
- ไมโครซอฟท์
- อาจ
- ภารกิจ
- ภารกิจ
- มากที่สุด
- เป็นที่นิยม
- ย้าย
- หลาย
- แห่งชาติ
- ธรรมชาติ
- จำเป็นต้อง
- ใหม่
- NIST
- เสนอ
- การเสนอ
- เสนอ
- เจ้าหน้าที่
- เก่า
- เก่าแก่ที่สุด
- ONE
- ผู้ประกอบการ
- คำพยากรณ์
- ใบสั่ง
- organizacja
- องค์กร
- OS
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ของตนเอง
- แพทช์
- ปะ
- เส้นทาง
- วิริยะ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ยอดนิยม
- ความนิยม
- ชอบ
- นำเสนอ
- เป็นที่แพร่หลาย
- จัดลำดับความสำคัญ
- ลำดับความสำคัญ
- สิทธิ์
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- ให้
- QNAP
- ransomware
- การโจมตีของแรนซัมแวร์
- เมื่อเร็ว ๆ นี้
- สีแดง
- หมวกสีแดง
- ยังคง
- รีโมท
- รายงาน
- ต้อง
- ทรัพยากร
- เปิดเผย
- ความเสี่ยง
- เสี่ยง
- Ryuk
- กล่าวว่า
- พูดว่า
- ความปลอดภัย
- ความรู้สึก
- ชุด
- หลาย
- แสดงให้เห็นว่า
- สำคัญ
- หก
- So
- ซอฟต์แวร์
- ของแข็ง
- บาง
- ยังคง
- อย่างเช่น
- ระบบ
- เอา
- ทีม
- พื้นที่
- ของพวกเขา
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- สาม
- ต้องใช้เวลามาก
- ไปยัง
- รวม
- เทรนด์
- แนวโน้ม
- เป็นเอกลักษณ์
- us
- ใช้
- มักจะ
- การตรวจสอบ
- ผู้ขาย
- ผู้ขาย
- รายละเอียด
- VMware
- ช่องโหว่
- ความอ่อนแอ
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- ที่
- ในขณะที่
- WHO
- แพร่หลาย
- ภายใน
- โรงงาน
- เขียน
- ปี
- ปี
- ลมทะเล