Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

De meerderheid van de ransomware-aanvallen vorig jaar maakte gebruik van oude bugs

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 132

Veel kwetsbaarheden die ransomware-operators gebruikten bij aanvallen van 2022 waren jaren oud en maakten de weg vrij voor de aanvallers om doorzettingsvermogen vast te stellen en zijwaarts te bewegen om hun missies uit te voeren.

De kwetsbaarheden in producten van Microsoft, Oracle, VMware, F5, SonicWall en verschillende andere leveranciers vormen een duidelijk en actueel gevaar voor organisaties die ze nog niet hebben verholpen, zo onthulde een nieuw rapport van Ivanti deze week.

Oude Vulns nog steeds populair

Ivanti's rapport is gebaseerd op een gegevensanalyse van het eigen Threat Intelligence-team en van Securin, Cyber ​​Security Works en Cyware. Het biedt een diepgaande blik op kwetsbaarheden die kwaadwillenden vaak uitbuitten bij ransomware-aanvallen in 2022.

Ivanti's analyse toonde aan dat ransomware-operators vorig jaar in totaal 344 unieke kwetsbaarheden in aanvallen uitbuitten - een stijging van 56 vergeleken met 2021. Hiervan was maar liefst 76% van de fouten van 2019 of eerder. De oudste kwetsbaarheden in de set waren in feite drie bugs voor het uitvoeren van externe code (RCE) uit 2012 in de producten van Oracle: CVE-2012-1710 in Oracle Fusion-middleware en CVE-2012-1723 en CVE-2012-4681 in de Java Runtime-omgeving.

Srinivas Mukkamala, Ivanti's chief product officer, zegt dat terwijl de gegevens laten zien dat ransomware-operators vorig jaar sneller dan ooit nieuwe kwetsbaarheden bewapenden, velen bleven vertrouwen op oude kwetsbaarheden die nog niet gepatcht waren op bedrijfssystemen. 

"Het misbruiken van oudere fouten is een bijproduct van de complexiteit en het tijdrovende karakter van patches", zegt Mukkamala. "Dit is de reden waarom organisaties een op risico's gebaseerde benadering van kwetsbaarheidsbeheer moeten volgen om prioriteit te geven aan patches, zodat ze kwetsbaarheden kunnen herstellen die het meeste risico vormen voor hun organisatie."

De grootste bedreigingen

Onder de kwetsbaarheden die Ivanti identificeerde als het grootste gevaar, waren er 57 die volgens het bedrijf bedreigingsactoren mogelijkheden bieden om hun hele missie uit te voeren. Dit waren kwetsbaarheden die een aanvaller in staat stellen om initiële toegang te krijgen, persistentie te bereiken, privileges te escaleren, verdedigingen te omzeilen, toegang te krijgen tot inloggegevens, activa te ontdekken waarnaar ze mogelijk op zoek zijn, lateraal te bewegen, gegevens te verzamelen en de laatste missie uit te voeren.

De drie Oracle-bugs uit 2012 behoorden tot de 25 kwetsbaarheden in deze categorie die uit 2019 of ouder waren. Exploits tegen drie van hen (CVE-2017-18362, CVE-2017-6884, en CVE-2020-36195) in producten van respectievelijk ConnectWise, Zyxel en QNAP worden momenteel niet gedetecteerd door scanners, zei Ivanti.

Een aantal (11) van de kwetsbaarheden in de lijst die een volledige exploitketen boden, vloeide voort uit onjuiste invoervalidatie. Andere veelvoorkomende oorzaken van kwetsbaarheden waren problemen met het doorlopen van paden, injectie van OS-opdrachten, out-of-bounds schrijffouten en SQL-injectie. 

Wijd voorkomende gebreken zijn het populairst

Ransomware-actoren gaven ook de voorkeur aan gebreken die in meerdere producten voorkomen. Een van de meest populaire onder hen was CVE-2018-3639, een type van speculatieve side-channel kwetsbaarheid die Intel in 2018 heeft bekendgemaakt. De kwetsbaarheid bestaat in 345 producten van 26 leveranciers, zegt Mukkamala. Andere voorbeelden zijn onder meer CVE-2021-4428, de beruchte Log4Shell-fout, die momenteel door ten minste zes ransomware-groepen wordt misbruikt. De fout is een van de fouten die Ivanti in december 2022 trending vond onder bedreigingsactoren. Het bestaat in ten minste 176 producten van 21 leveranciers, waaronder Oracle, Red Hat, Apache, Novell en Amazon.

Twee andere kwetsbaarheden waar ransomware-operators de voorkeur aan geven vanwege hun wijdverbreide prevalentie zijn CVE-2018-5391 in de Linux-kernel en CVE-2020-1472, een kritiek misbruik van bevoegdheden in Microsoft Netlogon. Minstens negen ransomware-bendes, waaronder die achter Babuk, CryptoMix, Conti, DarkSide en Ryuk, hebben de fout gebruikt, en het blijft onder andere populairder worden, zei Ivanti.

In totaal ontdekte de beveiliging dat zo'n 118 kwetsbaarheden die vorig jaar werden gebruikt bij ransomware-aanvallen, fouten waren die in meerdere producten bestonden.

"Bedreigers zijn zeer geïnteresseerd in gebreken die in de meeste producten aanwezig zijn", zegt Mukkamala.

Geen op de CISA-lijst

Met name 131 van de 344 fouten die ransomware-aanvallers vorig jaar uitbuitten, zijn niet opgenomen in de nauwlettend gevolgde Known Exploited Vulnerabilities (KEV)-database van de Amerikaanse Cybersecurity and Infrastructure Security Agency. De database somt softwarefouten op die door bedreigingsactoren actief worden uitgebuit en die door CISA als bijzonder riskant worden beoordeeld. CISA vereist dat federale agentschappen de in de database vermelde kwetsbaarheden met prioriteit aanpakken, meestal binnen ongeveer twee weken.

"Het is veelbetekenend dat deze niet in de KEV van CISA staan, omdat veel organisaties de KEV gebruiken om prioriteit te geven aan patches", zegt Mukkamala. Dat toont aan dat hoewel KEV een solide bron is, het geen volledig beeld geeft van alle kwetsbaarheden die worden gebruikt bij ransomware-aanvallen, zegt hij.

Ivanti ontdekte dat 57 kwetsbaarheden die vorig jaar werden gebruikt bij ransomware-aanvallen door groepen als LockBit, Conti en BlackCat, lage en gemiddelde ernstscores hadden in de nationale kwetsbaarheidsdatabase. Het gevaar: dit kan organisaties die de score gebruiken om prioriteit te geven aan patchen, een vals gevoel van veiligheid geven, aldus de beveiligingsleverancier.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.