Quali erano le vulnerabilità di sicurezza più sfruttate di routine 2021?
Un nuovo rapporto pubblicato dalla CISA in collaborazione con le autorità degli Stati Uniti, Australia, Canada, Nuova Zelanda, e il Regno Unito ha rivelato un avviso contenente le vulnerabilità più sfruttate negli attacchi informatici.
Così, cosa dice l'avviso?
Le vulnerabilità più sfruttate in 2021
L'anno scorso, su scala globale, gli attori delle minacce hanno preso di mira principalmente i sistemi connessi a Internet, inclusi server di posta elettronica e VPN (rete privata virtuale) server che utilizzano falle di sicurezza appena rivelate. E 'degno di nota, per un numero predominante dei principali bug sfruttati, ricercatori o altri attori hanno rilasciato codici proof of concept (PoC) entro due settimane dalla divulgazione della vulnerabilità. Questa azione dimostra di facilitare lo sfruttamento da parte di una gamma più ampia di attori delle minacce, ha osservato la CISA.
Anche gli attori delle minacce hanno continuato a fare leva pubblicamente noti, vecchi difetti del software, alcuni dei quali sono stati sfruttati 2020 e anni precedenti. Lo sfruttamento di vecchie vulnerabilità rivela il rischio esteso per le organizzazioni che non affrontano i problemi nei loro prodotti software. L'uso di software non più supportato da un fornitore dimostra lo stesso rischio.
L'elenco di dette vulnerabilità include quanto segue…
CVE-2021-44228, o l'exploit di Log4Shell
CVE-2021-44228, o il cosiddetto exploit Log4Shell, influisce sulla libreria Log4j di Apache, un framework di registrazione open source. Gli hacker possono sfruttare il problema utilizzando una richiesta appositamente predisposta per un sistema esposto, causando l'esecuzione di codice arbitrario e l'acquisizione dell'intero sistema. Una volta raggiunto questo obiettivo, l'attore della minaccia può rubare informazioni, lanciare ransomware, o svolgere altre attività dannose. L'exploit Log4Shell è stato rivelato a dicembre 2021, ma il suo sfruttamento rapido e diffuso mostra le capacità estese degli attori delle minacce di armare rapidamente i difetti noti e prendere di mira le organizzazioni prima dell'applicazione delle patch, ha osservato la CISA.
È interessante notare che l'exploit è stato sfruttato dalla famiglia di ransomware Khonsari negli attacchi contro i server Windows. Gli stessi attacchi stavano scaricando un payload dannoso aggiuntivo: il trojan di accesso remoto Orcus.
Le vulnerabilità di ProxyLogon
Le vulnerabilità sono note sotto questi identificatori: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. Influiscono su Microsoft Exchange Server. Le versioni interessate includono Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
i difetti sono stati utilizzati come parte di una catena di attacco. Per essere avviato con successo, un attacco richiede una connessione non attendibile a una porta del server Exchange specifica, 443. Questa scappatoia può essere protetta limitando la connessione non attendibile, o configurando una VPN per separare il server dall'accesso esterno. Tuttavia, questi trucchi di mitigazione offrono solo una protezione parziale. L'azienda avverte che altre parti dell'attacco a catena possono essere attivate se un utente malintenzionato ha già accesso o può convincere un amministratore a eseguire un file dannoso.
L'exploit di ProxyShell
La CISA ha emesso un avviso lo scorso agosto avvertendolo sfruttavano i criminali informatici le cosiddette vulnerabilità ProxyShell di Microsoft Exchange, noto come CVE-2021-34473, CVE-2021-34523, e CVE-2021-31207. Lo sfruttamento riuscito consente agli attori delle minacce remoti di eseguire l'esecuzione di codice arbitrario. “Queste vulnerabilità risiedono all'interno del servizio di accesso client Microsoft (CAS), che in genere viene eseguito su port 443 in Microsoft Internet Information Services (IIS) (es, Il server web di Microsoft). CAS è comunemente esposto a Internet per consentire agli utenti di accedere alla propria posta elettronica tramite dispositivi mobili e browser web,” ha osservato la CISA.
Il difetto critico di confluenza dell'atlante
CVE-2021-26084 è una vulnerabilità in Atlassian Confluence distribuzioni su Windows e Linux. Il difetto è critico, ed è stato sfruttato per distribuire shell web che causano l'esecuzione di minatori di criptovaluta su sistemi vulnerabili. il problema è legato a un linguaggio di navigazione Object-Graph (OGNL) iniezione nel modulo Webwork di Atlassian Confluence Server e Data Center. La vulnerabilità può essere sfruttata da aggressori remoti inviando richieste HTTP predisposte con un parametro dannoso a un server vulnerabile. Ciò potrebbe quindi portare all'esecuzione di codice arbitrario "nel contesto di sicurezza del server interessato,” come sottolineato dai ricercatori di Trend Micro al momento della divulgazione.
“Tre dei migliori 15 anche le vulnerabilità sfruttate regolarmente sono state sfruttate regolarmente 2020: CVE-2020-1472, CVE-2.018-13.379, e CVE-2019-11510. Il loro continuo sfruttamento indica che molte organizzazioni non riescono ad applicare patch al software in modo tempestivo e rimangono vulnerabili agli attori informatici dannosi,Il parere della CISA disse.