Som var de mest rutinemæssigt udnyttede sikkerhedssårbarheder i 2021?
En ny rapport udgivet af CISA i samarbejde med myndighederne i USA, Australien, Canada, New Zealand, og Det Forenede Kongerige afslørede en meddelelse, der indeholder de mest udnyttede sårbarheder inden for cyberangreb.
Så, hvad siger rådgiveren?
De mest udnyttede sårbarheder i 2021
Sidste år, på globalt plan, trusselsaktører var hovedsageligt rettet mod internet-vendte systemer, inklusive e-mail-servere og VPN (virtuelt privat netværk) servere, der bruger nyligt afslørede sikkerhedsfejl. Det er bemærkelsesværdigt, at, for et overvejende antal af de mest udnyttede fejl, forskere eller andre aktører har udgivet proof of concept-koder (PoC) inden for to uger efter afsløringen af sårbarheden. Denne handling viser sig at lette udnyttelsen af en bredere vifte af trusselsaktører, CISA noteret.
Trusselsaktører fortsatte også med at udnytte offentligt kendte, ældre softwarefejl, hvoraf nogle blev udnyttet ind 2020 og tidligere år. Udnyttelsen af ældre sårbarheder afslører den udvidede risiko for organisationer, der undlader at løse problemer i deres softwareprodukter. Brugen af software, der ikke længere understøttes af en leverandør, viser den samme risiko.
Listen over de nævnte sårbarheder omfatter følgende…
CVE-2021-44228, eller Log4Shell-udnyttelsen
CVE-2021-44228, eller den såkaldte Log4Shell exploit, påvirker Apaches Log4j-bibliotek, en open source logningsramme. Hackere kan udnytte problemet ved at bruge en specielt udformet anmodning til et afsløret system, forårsager vilkårlig kodeudførelse og fuld systemovertagelse. Når dette er opnået, trusselsaktøren kan stjæle information, lancere ransomware, eller udføre andre ondsindede aktiviteter. Log4Shell-udnyttelsen blev afsløret i december 2021, men dets hurtige og udbredte udnyttelse viser trusselsaktørernes udvidede evner til hurtigt at bevæbne kendte fejl og målrette organisationer før patching, CISA noteret.
Det er bemærkelsesværdigt, at udnyttelsen blev udnyttet af Khonsari ransomware-familien i angreb mod Windows-servere. De samme angreb downloadede en ekstra ondsindet nyttelast - Orcus fjernadgangstrojan.
Sårbarheder i ProxyLogon
Sårbarhederne er kendt under disse identifikatorer: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065. De påvirker Microsoft Exchange Server. Berørte versioner inkluderer Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, og Microsoft Exchange Server 2019.
fejlene er blevet brugt som en del af en angrebskæde. At blive igangsat med succes, et angreb kræver en upålidelig forbindelse til en bestemt Exchange-serverport, 443. Dette smuthul kan beskyttes ved at begrænse utroforbindelse, eller ved at oprette en VPN til at adskille serveren fra ekstern adgang. Men, disse afbødende tricks tilbyder kun delvis beskyttelse. Virksomheden advarer om, at andre dele af kædeangrebet kan udløses, hvis en angriber allerede har adgang eller kan overbevise en administrator om at køre en ondsindet fil.
ProxyShell-udnyttelsen
CISA udsendte en advarsel i august sidste år med advarsel om det cyberkriminelle udnyttede de såkaldte ProxyShell Microsoft Exchange sårbarheder, kendt som CVE-2021-34473, CVE-2021-34523, og CVE-2021-31207. Succesfuld udnyttelse gør det muligt for fjerntrusselsaktører at udføre vilkårlig kodeudførelse. "Disse sårbarheder findes i Microsoft Client Access Service (CAS), som typisk kører på havn 443 i Microsoft Internet Information Services (IIS) (f.eks, Microsofts webserver). CAS er almindeligvis udsat for internettet for at gøre det muligt for brugere at få adgang til deres e-mail via mobile enheder og webbrowsere,” bemærkede CISA.
Den kritiske atlassiske sammenløbsfejl
CVE-2021-26084 er en sårbarhed i Atlassian Confluence implementeringer på tværs af Windows og Linux. Fejlen er kritisk, og er blevet udnyttet til at implementere webskaller, der forårsager henrettelse af kryptokurrency minearbejdere på sårbare systemer. problemet er relateret til et Object-Graph Navigation Language (OGNL) injektion i Webwork -modulet i Atlassian Confluence Server og Data Center. Sårbarheden kan udnyttes af eksterne angribere ved at sende en udformet HTTP -anmodning med en ondsindet parameter til en sårbar server. Dette kan derefter føre til vilkårlig kodekørsel "i sikkerhedskonteksten for den berørte server,” som påpeget af Trend Micro-forskere efter offentliggørelsen.
"Tre af toppen 15 rutinemæssigt udnyttede sårbarheder blev også rutinemæssigt udnyttet i 2020: CVE-2020-1472, CVE-2018-13.379, og CVE-2019-11510. Deres fortsatte udnyttelse indikerer, at mange organisationer undlader at patche software i tide og forbliver sårbare over for ondsindede cyberaktører,” CISA's rådgivende sagde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: