Многим уязвимостям, которые операторы программ-вымогателей использовали в атаках 2022 года, уже несколько лет, и они проложили путь злоумышленникам, чтобы установить постоянство и перемещаться в боковом направлении для выполнения своих миссий.
Уязвимости в продуктах Microsoft, Oracle, VMware, F5, SonicWall и ряда других поставщиков представляют явную опасность для организаций, которые еще не устранили их, говорится в новом отчете Ivanti, опубликованном на этой неделе.
Старые Вулны по-прежнему популярны
Отчет Иванти основан на анализ данных от собственной группы по анализу угроз, а также от Securin, Cyber Security Works и Cyware. Он предлагает подробный обзор уязвимостей, которые злоумышленники обычно использовали в атаках программ-вымогателей в 2022 году.
Анализ Ivanti показал, что в прошлом году операторы программ-вымогателей использовали в атаках в общей сложности 344 уникальные уязвимости, что на 56 больше, чем в 2021 году. Из них поразительные 76% уязвимостей относятся к 2019 году или ранее. Самыми старыми уязвимостями в наборе были три ошибки удаленного выполнения кода (RCE) 2012 года в продуктах Oracle: CVE-2012-1710 в ПО промежуточного слоя Oracle Fusion и CVE-2012-1723 и CVE-2012-4681 в среде выполнения Java.
Шринивас Муккамала, директор по продуктам Ivanti, говорит, что, хотя данные показывают, что операторы программ-вымогателей использовали новые уязвимости быстрее, чем когда-либо в прошлом году, многие продолжали полагаться на старые уязвимости, которые остаются неисправленными в корпоративных системах.
«Эксплуатация старых уязвимостей является побочным продуктом сложности и трудоемкости исправлений», — говорит Муккамала. «Вот почему организациям необходимо использовать подход к управлению уязвимостями, основанный на оценке рисков, для определения приоритетности исправлений, чтобы они могли устранять уязвимости, представляющие наибольший риск для их организации».
Самые большие угрозы
Среди уязвимостей, которые компания Ivanti определила как представляющие наибольшую опасность, было 57, которые компания описала как предлагающие злоумышленникам возможности для выполнения всей их миссии. Это были уязвимости, которые позволяли злоумышленнику получить первоначальный доступ, обеспечить постоянство, повысить привилегии, обойти защиту, получить доступ к учетным данным, обнаружить активы, которые они могут искать, перемещаться в боковом направлении, собирать данные и выполнять последнюю миссию.
Три ошибки Oracle от 2012 года были среди 25 уязвимостей в этой категории, которые были выпущены в 2019 году или ранее. Подвиги против троих(CVE-2017-18362, CVE-2017-6884, и CVE-2020-36195) в продуктах ConnectWise, Zyxel и QNAP, соответственно, в настоящее время не обнаруживаются сканерами, сказал Иванти.
Множество (11) уязвимостей в списке, предлагающем полную цепочку эксплойтов, возникли из-за неправильной проверки ввода. Другие распространенные причины уязвимостей включают проблемы с обходом пути, внедрение команд ОС, ошибки записи за пределами границ и внедрение SQL.
Широко распространенные недостатки наиболее популярны
Субъекты программ-вымогателей также склонны отдавать предпочтение недостаткам, существующим в нескольких продуктах. Одним из самых популярных среди них был CVE-2018-3639, тип спекулятивная уязвимость побочного канала которую Intel раскрыла в 2018 году. По словам Муккамала, уязвимость существует в 345 продуктах от 26 поставщиков. Другие примеры включают CVE-2021-4428, печально известный недостаток Log4Shell, которым в настоящее время пользуются как минимум шесть групп программ-вымогателей. Этот недостаток входит в число тех, которые Иванти обнаружил среди злоумышленников еще в декабре 2022 года. Он существует как минимум в 176 продуктах от 21 поставщика, включая Oracle, Red Hat, Apache, Novell и Amazon.
Две другие уязвимости, которым отдают предпочтение операторы программ-вымогателей из-за их широкой распространенности: CVE-2018-5391 в ядре Linux и CVE-2020-1472, критическая ошибка повышения привилегий в Microsoft Netlogon. По словам Иванти, по крайней мере девять групп вымогателей, в том числе те, кто стоит за Babuk, CryptoMix, Conti, DarkSide и Ryuk, использовали эту уязвимость, и она продолжает набирать популярность среди других.
В общей сложности служба безопасности обнаружила, что около 118 уязвимостей, которые использовались в атаках программ-вымогателей в прошлом году, были недостатками, существовавшими во многих продуктах.
«Субъекты угроз очень заинтересованы в недостатках, присутствующих в большинстве продуктов, — говорит Муккамала.
Нет в списке CISA
Примечательно, что 131 из 344 уязвимостей, которые злоумышленники-вымогатели использовали в прошлом году, не включены в базу данных Известных эксплуатируемых уязвимостей (KEV), которую тщательно отслеживает Агентство США по кибербезопасности и безопасности инфраструктуры. В базе данных перечислены недостатки программного обеспечения, которые активно используют злоумышленники и которые CISA оценивает как особо опасные. CISA требует, чтобы федеральные агентства устраняли уязвимости, перечисленные в базе данных, в приоритетном порядке и обычно в течение двух недель или около того.
«Примечательно, что их нет в KEV CISA, потому что многие организации используют KEV для определения приоритетности исправлений», — говорит Муккамала. Это показывает, что, хотя KEV является надежным ресурсом, он не дает полного представления обо всех уязвимостях, используемых в атаках программ-вымогателей, говорит он.
Иванти обнаружил, что 57 уязвимостей, использованных в прошлом году в атаках программ-вымогателей такими группами, как LockBit, Conti и BlackCat, имели низкий и средний уровень серьезности в национальной базе данных уязвимостей. Опасность: это может убаюкать организации, использующие оценку для определения приоритетности исправлений, с ложным чувством безопасности, сказал поставщик средств защиты.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
