Більшість атак програм-вимагачів минулого року використовували старі помилки

Багатьом уразливостям, які оператори програм-вимагачів використовували в атаках 2022 року, було багато років тому, і вони проклали шлях для зловмисників, щоб створити наполегливість і рухатися вбік, щоб виконати свої місії.

Уразливості в продуктах Microsoft, Oracle, VMware, F5, SonicWall та кількох інших постачальників представляють явну та реальну небезпеку для організацій, які ще не усунули їх, повідомляється в новому звіті Ivanti цього тижня.

Старі вульни все ще популярні

Доповідь Іванті базується на ан аналіз даних від власної команди аналізу загроз, а також від співробітників Securin, Cyber ​​Security Works і Cyware. Він пропонує поглиблений погляд на вразливості, які зловмисники зазвичай використовували під час атак програм-вимагачів у 2022 році.

Аналіз Ivanti показав, що минулого року оператори програм-вимагачів використовували в атаках загалом 344 унікальні вразливості, що на 56 більше, ніж у 2021 році. З них вражаючі 76% недоліків були з 2019 року або раніше. Найстаріші уразливості в наборі насправді були трьома помилками віддаленого виконання коду (RCE) з 2012 року в продуктах Oracle: CVE-2012-1710 у проміжному програмному забезпеченні Oracle Fusion і CVE-2012-1723 та CVE-2012-4681 у середовищі Java Runtime Environment.

Шрінівас Муккамала, директор із продуктів Ivanti, каже, що хоча дані показують, що оператори програм-вимагачів використовували нові вразливості швидше, ніж будь-коли минулого року, багато хто продовжував покладатися на старі вразливості, які залишаються невиправленими в корпоративних системах. 

«Використання старих недоліків є побічним продуктом складності та трудомісткості виправлень», — каже Муккамала. «Ось чому організаціям необхідно використовувати підхід до управління вразливістю, заснований на оцінці ризику, щоб визначити пріоритетність виправлень, щоб вони могли усунути вразливості, які становлять найбільший ризик для їх організації».

Найбільші загрози

Серед вразливостей, які Іванті визначив як найбільшу небезпеку, було 57, які компанія описала як такі, що пропонують суб’єктам загрози можливості для виконання всієї місії. Це були вразливості, які дозволяють зловмиснику отримати початковий доступ, досягти стійкості, підвищити привілеї, уникнути захисту, отримати доступ до облікових даних, виявити активи, які вони можуть шукати, рухатися вбік, збирати дані та виконати остаточну місію.

Три помилки Oracle з 2012 року були серед 25 уразливостей у цій категорії, які були з 2019 року або раніше. Експлойти проти трьох із них (CVE-2017-18362, CVE-2017-6884, та CVE-2020-36195) у продуктах ConnectWise, Zyxel і QNAP, відповідно, наразі не виявляються сканерами, сказав Іванті.

Безліч (11) уразливостей у списку, які пропонували повний ланцюжок експлойтів, виникли через неправильну перевірку введених даних. Інші поширені причини вразливостей включали проблеми з проходженням шляху, впровадження команд ОС, помилки запису поза межами та впровадження SQL. 

Широко поширені вади є найбільш популярними

Актори програм-вимагачів також схильні віддавати перевагу недолікам, які існують у багатьох продуктах. Одним із найпопулярніших серед них був CVE-2018-3639, тип спекулятивна вразливість побічного каналу Уразливість існує в 2018 продуктах від 345 постачальників, каже Муккамала. Інші приклади включають CVE-2021-4428, сумнозвісна вада Log4Shell, які зараз використовують принаймні шість груп програм-вимагачів. Недоліки є одними з тих, які Іванті виявив популярними серед загрозливих суб’єктів ще в грудні 2022 року. Він існує щонайменше в 176 продуктах від 21 постачальника, включаючи Oracle, Red Hat, Apache, Novell і Amazon.

Дві інші вразливості, які віддають перевагу операторам програм-вимагачів через їх широку поширеність CVE-2018-5391 в ядрі Linux і CVE-2020-1472, критична помилка підвищення привілеїв у Microsoft Netlogon. Принаймні дев’ять банд програм-вимагачів, у тому числі ті, що стоять за Babuk, CryptoMix, Conti, DarkSide і Ryuk, скористалися вадою, і вона продовжує набирати популярність серед інших, сказав Іванті.

Загалом служба безпеки виявила, що близько 118 уразливостей, які використовувалися в атаках програм-вимагачів минулого року, були недоліками, які існували в кількох продуктах.

«Актори загрози дуже зацікавлені в недоліках, які присутні в більшості продуктів», — говорить Муккамала.

Немає в списку CISA

Примітно, що 131 із 344 недоліків, якими скористалися зловмисники зловмисники минулого року, не включені в базу даних Known Exploited Vulnerabilities (KEV), яку ретельно відслідковує Агентство з кібербезпеки та безпеки інфраструктури США. База даних містить перелік недоліків програмного забезпечення, якими активно користуються зловмисники та які CISA оцінює як особливо ризиковані. CISA вимагає від федеральних агентств у першочерговому порядку усунути вразливості, перелічені в базі даних, і зазвичай протягом двох тижнів або близько того.

«Важливо, що їх немає в KEV CISA, оскільки багато організацій використовують KEV для визначення пріоритетів виправлень», — каже Муккамала. Це показує, що хоча KEV є надійним ресурсом, він не надає повного уявлення про всі вразливості, які використовуються в атаках програм-вимагачів, каже він.

Іванті виявив, що 57 уразливостей, використаних у атаках програм-вимагачів минулого року такими групами, як LockBit, Conti та BlackCat, мали низький і середній рівень серйозності в національній базі даних уразливостей. Небезпека: це може приспати організації, які використовують оцінку, щоб визначити пріоритетність виправлення, у помилкове відчуття безпеки, сказав постачальник безпеки.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain