Phần lớn các cuộc tấn công ransomware năm ngoái đã khai thác các lỗi cũ

Nhiều lỗ hổng mà những kẻ khai thác mã độc tống tiền sử dụng trong các cuộc tấn công vào năm 2022 đã tồn tại từ lâu và mở đường cho những kẻ tấn công thiết lập sự kiên trì và di chuyển theo chiều ngang để thực hiện các nhiệm vụ của chúng.

Một báo cáo mới từ Ivanti tiết lộ trong tuần này rằng các lỗ hổng trong các sản phẩm của Microsoft, Oracle, VMware, F5, SonicWall và một số nhà cung cấp khác gây ra mối nguy hiểm rõ ràng và hiện hữu đối với các tổ chức chưa khắc phục chúng.

Lỗ hổng cũ vẫn phổ biến

Báo cáo của Ivanti dựa trên phân tích các dữ liệu từ nhóm tình báo mối đe dọa của riêng mình và từ những người ở Securin, Cyber ​​Security Works và Cyware. Nó cung cấp một cái nhìn sâu sắc về các lỗ hổng mà những kẻ xấu thường khai thác trong các cuộc tấn công bằng mã độc tống tiền vào năm 2022.

Phân tích của Ivanti cho thấy những kẻ khai thác ransomware đã khai thác tổng cộng 344 lỗ hổng duy nhất trong các cuộc tấn công vào năm ngoái — tăng 56 lỗ hổng so với năm 2021. Trong số này, 76% lỗ hổng đáng kinh ngạc là từ năm 2019 trở về trước. Trên thực tế, các lỗ hổng lâu đời nhất trong bộ này là ba lỗi thực thi mã từ xa (RCE) từ năm 2012 trong các sản phẩm của Oracle: CVE-2012-1710 trong phần mềm trung gian Oracle Fusion và CVE-2012-1723 và CVE-2012-4681 trong Môi trường thời gian chạy Java.

Srinivas Mukkamala, giám đốc sản phẩm của Ivanti, nói rằng trong khi dữ liệu cho thấy những kẻ khai thác ransomware đã vũ khí hóa các lỗ hổng mới nhanh hơn bao giờ hết vào năm ngoái, nhiều người vẫn tiếp tục dựa vào các lỗ hổng cũ chưa được vá trên hệ thống doanh nghiệp. 

Mukkamala cho biết: “Các lỗ hổng cũ hơn đang bị khai thác là sản phẩm phụ của sự phức tạp và tốn thời gian của các bản vá”. “Đây là lý do tại sao các tổ chức cần áp dụng phương pháp quản lý lỗ hổng dựa trên rủi ro để ưu tiên các bản vá nhằm có thể khắc phục các lỗ hổng gây rủi ro cao nhất cho tổ chức của mình”.

Các mối đe dọa lớn nhất

Trong số các lỗ hổng mà Ivanti xác định là gây nguy hiểm lớn nhất có 57 lỗ hổng mà công ty mô tả là cung cấp khả năng cho các tác nhân đe dọa thực hiện toàn bộ nhiệm vụ của chúng. Đây là những lỗ hổng cho phép kẻ tấn công giành được quyền truy cập ban đầu, đạt được sự bền bỉ, leo thang đặc quyền, trốn tránh phòng thủ, truy cập thông tin xác thực, khám phá tài sản mà chúng có thể đang tìm kiếm, di chuyển ngang, thu thập dữ liệu và thực hiện nhiệm vụ cuối cùng.

Ba lỗi Oracle từ năm 2012 nằm trong số 25 lỗ hổng trong danh mục này từ năm 2019 trở lên. Khai thác chống lại ba trong số họ (CVE-2017-18362, CVE-2017-6884, và CVE-2020-36195Ivanti cho biết ) trong các sản phẩm từ ConnectWise, Zyxel và QNAP hiện không được máy quét phát hiện.

Phần lớn (11) lỗ hổng trong danh sách cung cấp chuỗi khai thác hoàn chỉnh bắt nguồn từ việc xác thực đầu vào không đúng cách. Các nguyên nhân phổ biến khác dẫn đến các lỗ hổng bao gồm các sự cố truyền tải đường dẫn, chèn lệnh hệ điều hành, lỗi ghi ngoài giới hạn và chèn SQL. 

Lỗ hổng phổ biến rộng rãi là phổ biến nhất

Các tác nhân của ransomware cũng có xu hướng thích các lỗ hổng tồn tại trên nhiều sản phẩm. Một trong những phổ biến nhất trong số đó là CVE-2018-3639, một loại lỗ hổng bên kênh đầu cơ mà Intel đã tiết lộ vào năm 2018. Lỗ hổng tồn tại trong 345 sản phẩm từ 26 nhà cung cấp, Mukkamala cho biết. Các ví dụ khác bao gồm CVE-2021-4428, lỗ hổng Log4Shell khét tiếng, mà ít nhất sáu nhóm ransomware hiện đang khai thác. Lỗ hổng này nằm trong số những lỗi mà Ivanti nhận thấy có xu hướng trong số các tác nhân đe dọa gần đây nhất vào tháng 2022 năm 176. Nó tồn tại trong ít nhất 21 sản phẩm từ XNUMX nhà cung cấp bao gồm Oracle, Red Hat, Apache, Novell và Amazon.

Hai lỗ hổng khác mà các nhà khai thác ransomware ưa chuộng vì mức độ phổ biến rộng rãi của chúng là CVE-2018-5391 trong nhân Linux và CVE-2020-1472, một lỗ hổng nâng cao đặc quyền nghiêm trọng trong Microsoft Netlogon. Ivanti cho biết ít nhất XNUMX nhóm ransomware, bao gồm cả những kẻ đứng sau Babuk, CryptoMix, Conti, DarkSide và Ryuk, đã sử dụng lỗ hổng này và nó cũng tiếp tục có xu hướng phổ biến đối với những nhóm khác.

Tổng cộng, bộ phận bảo mật đã phát hiện ra rằng khoảng 118 lỗ hổng được sử dụng trong các cuộc tấn công bằng mã độc tống tiền vào năm ngoái là những lỗ hổng tồn tại trên nhiều sản phẩm.

Mukkamala nói: “Những kẻ đe dọa rất quan tâm đến những sai sót có trong hầu hết các sản phẩm.

Không có trong danh sách CISA

Đáng chú ý, 131 trong số 344 lỗ hổng mà những kẻ tấn công ransomware khai thác năm ngoái không có trong cơ sở dữ liệu về Các lỗ hổng bị khai thác đã biết (KEV) được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ theo dõi chặt chẽ. Cơ sở dữ liệu liệt kê các lỗi phần mềm mà các tác nhân đe dọa đang tích cực khai thác và được CISA đánh giá là đặc biệt nguy hiểm. CISA yêu cầu các cơ quan liên bang giải quyết các lỗ hổng được liệt kê trong cơ sở dữ liệu trên cơ sở ưu tiên và thường trong vòng hai tuần hoặc lâu hơn.

Mukkamala nói: “Điều quan trọng là những thứ này không có trong KEV của CISA vì nhiều tổ chức sử dụng KEV để ưu tiên các bản vá”. Điều đó cho thấy rằng mặc dù KEV là một nguồn tài nguyên vững chắc nhưng nó không cung cấp cái nhìn đầy đủ về tất cả các lỗ hổng đang được sử dụng trong các cuộc tấn công bằng ransomware, ông nói.

Ivanti đã phát hiện ra rằng 57 lỗ hổng được sử dụng trong các cuộc tấn công bằng mã độc tống tiền vào năm ngoái bởi các nhóm như LockBit, Conti và BlackCat, có điểm số ở mức độ nghiêm trọng thấp và trung bình trong cơ sở dữ liệu lỗ hổng quốc gia. Điều nguy hiểm: điều này có thể khiến các tổ chức sử dụng điểm số để ưu tiên vá lỗi có cảm giác sai lầm về bảo mật, nhà cung cấp bảo mật cho biết.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain