Quais foram as vulnerabilidades de segurança mais exploradas rotineiramente em 2021?
Um novo relatório divulgado pela CISA em cooperação com as autoridades dos Estados Unidos, Austrália, Canadá, Nova Zelândia, e o Reino Unido revelaram um comunicado contendo as vulnerabilidades mais exploradas em ataques cibernéticos.
assim, o que diz a assessoria?
As vulnerabilidades mais exploradas em 2021
Ano passado, em uma escala global, os agentes de ameaças visavam principalmente sistemas voltados para a Internet, incluindo servidores de e-mail e VPN (rede privada virtual) servidores usando falhas de segurança recém-divulgadas. Vale ressaltar que, para um número predominante dos principais bugs explorados, pesquisadores ou outros atores divulgaram códigos de prova de conceito (PoC) no prazo de duas semanas após a divulgação da vulnerabilidade. Esta ação prova facilitar a exploração por uma gama mais ampla de atores de ameaças, CISA anotado.
Os atores de ameaças também continuaram a alavancar, falhas de software mais antigas, alguns dos quais foram explorados 2020 e anos anteriores. A exploração de vulnerabilidades mais antigas revela o risco estendido para as organizações que não resolvem problemas em seus produtos de software. O uso de software não mais suportado por um fornecedor demonstra o mesmo risco.
A lista das referidas vulnerabilidades inclui o seguinte…
CVE-2021-44228, ou o Log4Shell Exploit
CVE-2021-44228, ou o chamado exploit Log4Shell, afeta a biblioteca Log4j do Apache, uma estrutura de log de código aberto. Os hackers podem explorar o problema usando uma solicitação especialmente criada para um sistema exposto, causando execução arbitrária de código e controle total do sistema. Uma vez que isso seja alcançado, o agente da ameaça pode roubar informações, lançar ransomware, ou realizar outras atividades maliciosas. A exploração do Log4Shell foi revelada em dezembro 2021, mas sua exploração rápida e generalizada mostra as habilidades estendidas dos agentes de ameaças para rapidamente armar falhas conhecidas e atingir organizações antes de corrigir, CISA anotado.
Vale ressaltar que o exploit foi aproveitado pela família de ransomware Khonsari em ataques contra servidores Windows. Os mesmos ataques estavam baixando uma carga maliciosa adicional – o trojan de acesso remoto Orcus.
As vulnerabilidades do ProxyLogon
As vulnerabilidades são conhecidas nesses identificadores: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. Eles afetam o Microsoft Exchange Server. As versões afetadas incluem Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
as falhas foram usados como parte de uma cadeia de ataque. Para ser iniciado com sucesso, um ataque requer uma conexão não confiável a uma porta específica do servidor Exchange, 443. Esta lacuna pode ser protegida restringindo a conexão não confiável, ou configurando uma VPN para separar o servidor do acesso externo. Contudo, esses truques de mitigação oferecem apenas proteção parcial. A empresa avisa que outras partes do ataque em cadeia podem ser acionadas se um invasor já tiver acesso ou puder convencer um administrador a executar um arquivo malicioso.
A exploração do ProxyShell
A CISA divulgou um alerta em agosto passado alertando que os cibercriminosos estavam explorando as chamadas vulnerabilidades do ProxyShell Microsoft Exchange, conhecido como CVE-2021-34473, CVE-2021-34523, e CVE-2021-31207. A exploração bem-sucedida permite que os agentes remotos de ameaças executem a execução de código arbitrário. “Essas vulnerabilidades residem no Microsoft Client Access Service (CAS), que normalmente é executado na porta 443 em Serviços de Informações da Internet da Microsoft (IIS) (v.g., servidor web da Microsoft). O CAS é comumente exposto à Internet para permitir que os usuários acessem seus e-mails por meio de dispositivos móveis e navegadores da web,” CISA observou.
A Falha Crítica da Confluência Atlassiana
CVE-2021-26084 é uma vulnerabilidade no Atlassian Confluence implantações em Windows e Linux. A falha é crítica, e foi explorado para implantar shells da web, causando a execução de mineradores de criptomoeda em sistemas vulneráveis. o problema está relacionado a uma linguagem de navegação de gráfico de objeto (OGNL) injeção no módulo Webwork do Atlassian Confluence Server e Data Center. A vulnerabilidade pode ser aproveitada por atacantes remotos enviando solicitações HTTP elaboradas com um parâmetro malicioso para um servidor vulnerável. Isso pode levar à execução arbitrária de código “no contexto de segurança do servidor afetado,” como apontado por pesquisadores da Trend Micro após a divulgação.
“Três dos melhores 15 vulnerabilidades exploradas rotineiramente também foram exploradas rotineiramente em 2020: CVE-2020-1472, CVE-2018-13379, e CVE-2019-11510. Sua exploração contínua indica que muitas organizações não conseguem corrigir o software em tempo hábil e permanecem vulneráveis a agentes cibernéticos mal-intencionados,” Assessoria do CISA disse.