การโจมตีของแรนซัมแวร์ส่วนใหญ่ในปีที่แล้วใช้ประโยชน์จากบั๊กเก่า

ช่องโหว่จำนวนมากที่ผู้ให้บริการแรนซัมแวร์ใช้ในการโจมตีในปี 2022 นั้นมีอายุหลายปีและปูทางให้ผู้โจมตีสร้างการคงอยู่และย้ายไปด้านข้างเพื่อปฏิบัติภารกิจ

รายงานใหม่จาก Ivanti เปิดเผยในสัปดาห์นี้ว่าช่องโหว่ในผลิตภัณฑ์จาก Microsoft, Oracle, VMware, F5, SonicWall และผู้จำหน่ายรายอื่น ๆ นำเสนออันตรายที่ชัดเจนและนำเสนอต่อองค์กรที่ยังไม่ได้แก้ไข

ช่องโหว่เก่ายังคงเป็นที่นิยม

รายงานของ Ivanti อ้างอิงจาก การวิเคราะห์ข้อมูล จากทีมข่าวกรองภัยคุกคามของตนเองและจาก Securin, Cyber ​​Security Works และ Cyware โดยนำเสนอข้อมูลเชิงลึกเกี่ยวกับช่องโหว่ที่ผู้ไม่ประสงค์ดีมักนำไปใช้ประโยชน์ในการโจมตีด้วยแรนซัมแวร์ในปี 2022

การวิเคราะห์ของ Ivanti แสดงให้เห็นว่าผู้ให้บริการแรนซัมแวร์ใช้ประโยชน์จากช่องโหว่ที่ไม่ซ้ำกันทั้งหมด 344 รายการในการโจมตีเมื่อปีที่แล้ว ซึ่งเพิ่มขึ้น 56 รายการเมื่อเทียบกับปี 2021 ในจำนวนนี้ 76% ของช่องโหว่ที่น่าตกใจมาจากปี 2019 หรือก่อนหน้านั้น ช่องโหว่ที่เก่าแก่ที่สุดในชุดนี้คือบั๊ก Remote Code Execution (RCE) สามรายการจากปี 2012 ในผลิตภัณฑ์ของ Oracle: CVE-2012-1710 ในมิดเดิลแวร์ Oracle Fusion และ CVE-2012-1723 และ CVE-2012-4681 ใน Java Runtime Environment

Srinivas Mukkamala ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Ivanti กล่าวว่าในขณะที่ข้อมูลแสดงให้เห็นว่าผู้ให้บริการแรนซัมแวร์สร้างช่องโหว่ใหม่ได้เร็วกว่าที่เคยในปีที่แล้ว แต่หลายคนยังคงพึ่งพาช่องโหว่เก่าที่ยังไม่ได้แพตช์ในระบบขององค์กร 

Mukkamala กล่าวว่า "ข้อบกพร่องเก่า ๆ ถูกใช้ประโยชน์เป็นผลพลอยได้จากความซับซ้อนและใช้เวลานานของแพทช์" “นี่คือเหตุผลที่องค์กรต่างๆ ต้องใช้แนวทางการจัดการช่องโหว่ตามความเสี่ยงเพื่อจัดลำดับความสำคัญของแพตช์ เพื่อให้สามารถแก้ไขช่องโหว่ที่ก่อให้เกิดความเสี่ยงสูงสุดต่อองค์กรของตนได้”

ภัยคุกคามที่ใหญ่ที่สุด

ในบรรดาช่องโหว่ที่ Ivanti ระบุว่านำเสนออันตรายมากที่สุดนั้นมีอยู่ 57 รายการที่บริษัทอธิบายว่าให้ความสามารถของผู้คุกคามในการดำเนินภารกิจทั้งหมดของพวกเขา สิ่งเหล่านี้คือช่องโหว่ที่ทำให้ผู้โจมตีเข้าถึงได้ตั้งแต่เริ่มต้น, ได้รับคงอยู่, เพิ่มสิทธิ์, หลบเลี่ยงการป้องกัน, เข้าถึงข้อมูลประจำตัว, ค้นพบสินทรัพย์ที่พวกเขาอาจกำลังมองหา, ย้ายด้านข้าง, รวบรวมข้อมูล และดำเนินการภารกิจสุดท้าย

ข้อบกพร่องของ Oracle สามรายการจากปี 2012 เป็นหนึ่งในช่องโหว่ 25 รายการในหมวดหมู่นี้ที่มาจากปี 2019 หรือเก่ากว่านั้น เอาเปรียบพวกเขาสามคน (CVE-2017-18362, CVE-2017-6884, และ CVE-2020-36195) ในผลิตภัณฑ์จาก ConnectWise, Zyxel และ QNAP ตามลำดับ ยังไม่ถูกตรวจพบโดยสแกนเนอร์ Ivanti กล่าว

ช่องโหว่ส่วนใหญ่ (11) รายการในรายการที่เสนอช่องโหว่ที่สมบูรณ์นั้นเกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม สาเหตุทั่วไปอื่นๆ สำหรับช่องโหว่ ได้แก่ ปัญหาการผ่านเส้นทาง การแทรกคำสั่ง OS ข้อผิดพลาดในการเขียนนอกขอบเขต และการแทรก SQL 

ข้อบกพร่องที่พบได้ทั่วไปเป็นที่นิยมมากที่สุด

นักเรียกค่าไถ่มักจะชอบข้อบกพร่องที่มีอยู่ในผลิตภัณฑ์หลายตัว หนึ่งในความนิยมมากที่สุดในหมู่พวกเขาคือ CVE-2018-3639, ประเภทของ ช่องโหว่ด้านช่องทางการเก็งกำไร ที่ Intel เปิดเผยในปี 2018 ช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ 345 รายการจากผู้ขาย 26 ราย Mukkamala กล่าว ตัวอย่างอื่นๆ ได้แก่ CVE-2021-4428, ข้อบกพร่อง Log4Shell ที่น่าอับอายซึ่งมีกลุ่มแรนซัมแวร์อย่างน้อย 2022 กลุ่มที่กำลังโจมตีอยู่ในขณะนี้ ข้อบกพร่องนี้เป็นหนึ่งในข้อบกพร่องที่ Ivanti พบว่ามีแนวโน้มในหมู่ผู้คุกคามในเดือนธันวาคม 176 โดยมีอยู่ในผลิตภัณฑ์อย่างน้อย 21 รายการจากผู้จำหน่าย XNUMX ราย รวมถึง Oracle, Red Hat, Apache, Novell และ Amazon

อีกสองช่องโหว่ที่ผู้ให้บริการแรนซั่มแวร์ชื่นชอบเนื่องจากความแพร่หลายคือ CVE-2018-5391 ในเคอร์เนล Linux และ CVE-2020-1472ซึ่งเป็นการยกระดับช่องโหว่ที่สำคัญใน Microsoft Netlogon แก๊งแรนซั่มแวร์อย่างน้อยเก้าตัวรวมถึงพวกที่อยู่เบื้องหลัง Babuk, CryptoMix, Conti, DarkSide และ Ryuk ได้ใช้ช่องโหว่นี้ และมันยังคงได้รับความนิยมในหมู่คนอื่นๆ ด้วยเช่นกัน Ivanti กล่าว

โดยรวมแล้ว การรักษาความปลอดภัยพบว่ามีช่องโหว่ประมาณ 118 รายการที่ใช้ในการโจมตีแรนซัมแวร์เมื่อปีที่แล้ว ซึ่งเป็นช่องโหว่ที่มีอยู่ในผลิตภัณฑ์หลายตัว

“ผู้คุกคามสนใจข้อบกพร่องที่มีอยู่ในผลิตภัณฑ์ส่วนใหญ่มาก” มุกกมลากล่าว

ไม่มีในรายการ CISA

โดยเฉพาะอย่างยิ่ง ข้อบกพร่อง 131 จาก 344 รายการที่ผู้โจมตีแรนซัมแวร์ใช้โจมตีในปีที่แล้วไม่รวมอยู่ในฐานข้อมูล Known Exploited Vulnerabilities (KEV) ของ US Cybersecurity and Infrastructure Security Agency ฐานข้อมูลแสดงรายการข้อบกพร่องของซอฟต์แวร์ที่ผู้คุกคามกำลังแสวงหาประโยชน์อย่างแข็งขัน และ CISA ประเมินว่ามีความเสี่ยงเป็นพิเศษ CISA กำหนดให้หน่วยงานของรัฐบาลกลางจัดการช่องโหว่ที่ระบุไว้ในฐานข้อมูลตามลำดับความสำคัญ และโดยปกติแล้วภายในสองสัปดาห์หรือมากกว่านั้น

“สิ่งสำคัญคือสิ่งเหล่านี้ไม่ได้อยู่ใน KEV ของ CISA เพราะหลายองค์กรใช้ KEV เพื่อจัดลำดับความสำคัญของแพตช์” Mukkamala กล่าว นั่นแสดงให้เห็นว่าแม้ว่า KEV จะเป็นทรัพยากรที่แข็งแกร่ง แต่ก็ไม่ได้ให้มุมมองที่สมบูรณ์ของช่องโหว่ทั้งหมดที่ถูกใช้ในการโจมตีแรนซัมแวร์ เขากล่าว

Ivanti พบว่าช่องโหว่ 57 รายการที่ใช้ในการโจมตีแรนซัมแวร์เมื่อปีที่แล้วโดยกลุ่มต่างๆ เช่น LockBit, Conti และ BlackCat มีคะแนนระดับความรุนแรงต่ำและปานกลางในฐานข้อมูลช่องโหว่ระดับชาติ อันตราย: สิ่งนี้อาจทำให้องค์กรที่ใช้คะแนนเพื่อจัดลำดับความสำคัญของแพตช์ไปสู่ความรู้สึกผิดๆ ของการรักษาความปลอดภัย ผู้จำหน่ายความปลอดภัยกล่าว

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain