Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
ТОП-15 вразливостей, які часто використовуються в 2022 році

ТОП-15 вразливостей, які часто використовуються в 2022 році

Зловмисники користуються різними методами для вразливості програмного забезпечення. Це і віддалене виконання коду, і обхід системи безпеки та інші способи компрометації.

4d944997.jpg

За останні 12 місяців було виявлено низку нових вразливостей, у тому числі Log4Shell, ProxyShell та ProxyLogon, які використовувалися в атаках на підприємства. Ці та інші відомі помилки, деякі з яких були виявлені ще у 2017 році, зараз регулярно використовуються. Вони застосовуються у середовищах, де організації не змогли правильно провести інвентаризацію, виправлення. Агентство CISA (Cybersecurity and Infrastructure Security Agency) випустило своє останнє оновлення по вразливістям, що найчастіше використовуються. Тому розглянемо кожну із 15 вразливостей, які сьогодні найчастіше використовуються у корпоративному бізнесі.

1. Log4Shell (CVE-2021-44228)

Перше місце займає сумнозвісна вразливість зі сховища Apache Java, Log4j, яка вперше була виявлена ​​в кінці 2021 року. Ця помилка базується на дистанційному створенні коду, що широко використовується через поширеність сховища журналювання Log4j у веб-програмах. Для багатьох організацій та мережевих адміністраторів стало несподіванкою навіть те, що вони дізналися про цю залежність у своєму програмному стеку. По мірі появи подробиць про вразливість відповідальні організації намагалися зрозуміти її та своєчасно застосовувати виправлення. Складність цього процесу полягала у тому, що дослідники помітили безуспішність попередніх спроб виправлення помилки. Проте присутність Log4Shell у верхній частині списку показує, що багато організацій досі не вжили відповідних дій.

2. Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)

ПЗ Zoho ManageEngine ADSelfService Plus до версії 6113 включно виявилося вразливим у запобіганні реєстрації REST API та подальшого віддаленого генерування коду. Вразливість ліквідована на початку осені 2021 року, що дозволяє зловмисникам використовувати спеціально створені URL-адреси Rest API. Це потрібно для обходу аутентифікації через помилку при нормалізації URL-адреси перед спробою перевірки. Обійшовши фільтр аутентифікації, зловмисники можуть використати кінцеві точки та виконувати такі атаки, як створення довільних команд.
Помилку легко використовувати як інструмент, де програмне забезпечення поширене на підприємстві, а недолік присутній у конфігурації продукту за замовчуванням. Ця комбінація є великою цінністю для хакерів, тому не дивно, що зловмисники розшукують і атакують підприємства з вразливими версіями цього програмного забезпечення.

3–5. ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523)

Це три окремі вразливості сервера Microsoft Exchange, вони дозволяють оминати безпеку, припускають RCE та підвищення привілеїв. Структурування у відкритих середовищах ProxyShell дозволяє зловмиснику налагодити регулярність, здійснювати шкідливі операції PowerShell. Успішне використання означає, що хакери можуть контролювати вразливі поштові сервери Microsoft Exchange. CISA зазначає, що ці помилки, виявлені у серпні 2021 року, знаходяться на сервері клієнтського доступу Microsoft (CAS). Центр адміністрування CAS – служба, яка зазвичай працює в межах порту 443 у службах Microsoft Internet Information Services (IIS). Вона, як правило, доступна в Інтернеті, тому користувачі можуть отримувати доступ до електронної пошти з мобільних пристроїв та браузерів. 

3-5.jpg

Як і у випадку з багатьма з цих CVE, код Proof of Concept разом із документацією знаходиться у відкритому доступі. Це робить набір вразливостей цікавим для хакерів.

6–9. ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)

Це були важкі місяці для організацій, які використовують Microsoft Exchange. До ProxyShell у серпні 2021 року діяли чотири нульові дні, що активно експлуатуються, відомі під загальною назвою ProxyLogon. Ці чотири вразливості займають чотири позиції з 6 по 9 з 15 помилок, що найчастіше використовуються.
ProxyLogon впливає на Microsoft Exchange 2013, 2016 та 2019. Спочатку вразливості були знайдені після виявлення китайського APT-угруповання HAFNIUM. Проте з того часу ними користувалися інші зловмисники з огляду на те, що помилки існують за замовчуванням у конфігураціях популярного корпоративного програмного забезпечення. Відомо, що хакери застосовують автоматизовані інструменти, за допомогою яких скануються та виявляються невиправлені сервери. Для блокування експлойтів ProxyLogon достатньо купити антивірус, який захищатиме користувачів від кіберзагроз.

Чотири CVE є ненадійними підключеннями до Exchange за допомогою порту 443, вони можуть бути використані без втручання користувача. ProxyLogon дозволяє хакерам обходити автентифікацію, читати електронні повідомлення, розгортати шкідливість у корпоративних мережах. У початкових атаках групи HAFNIUM було розгорнуто веб-оболонки різних типів, використано додаткові інструменти для полегшення переміщення, систематичного доступу та дистанційних маніпуляцій. У HAFNIUM також використовувалися інструменти з відкритим вихідним кодом, наприклад PowerCAT, Nishang, 7zip, WinRAR та Procdump.

10. Сервер/центр даних Atlassian Confluence (CVE-2021-26084)

Ця вразливість у системі безпеки дозволяє користувачеві, який не пройшов перевірку, генерувати вільний код на екземплярі Confluence Server або Data Center. Confluence це сервіс, схожий на Wiki, широко використовується в корпоративних середовищах. Вразливість, виявлена ​​в серпні 2021 року, активно використовувалася і зараз застосовується, оскільки її можуть використовувати користувачі, що не пройшли перевірку ідентифікації, незалежно від конфігурації. На жаль, початкове розкриття інформації залишилося непоміченим на багатьох підприємствах, і до вересня USCYBERCOM попередила про масову експлуатацію. 

atlassian.jpg

Помилка дозволяє суб'єкту загрози виконувати команди з тими ж дозволами, що й користувач, який запускає сервіс. Відповідно до початкових припущень, вразливість доступна лише користувачеві з дійсними обліковими даними у системі. Насправді з'ясувалося, що будь-який незареєстрований користувач може спричинити вразливість. Відкритий код експлойту існує та активно використовується зловмисниками проти вразливих екземплярів.

atlassian-2.jpg

11. Вразливість VMware vSphere (CVE-2021-21972)

Взимку 2021 року VMware повідомили, що vSphere (HTML5) включає вразливість дистанційного створення коду в модулі vCenter Server. Компанія надала цій вразливості критичне значення з рівнем серйозності 9,8.
VMware vSphere — це комплекс продуктів для віртуалізації серверів корпоративної інфраструктури, що включає гіпервізор ESXi та програми для керування vCenter. ПЗ зазвичай розташовується у внутрішніх мережах. Використання CVE-2021-21972 дозволяє зловмисникам з доступом до порту 443 діяти з безмежними перевагами в ОС хоста.
Незабаром стало відомо про масове сканування вразливих серверів VMware vCenter, а в Інтернеті оприлюднили код Proof of Concept для вразливості.

Vsphere.jpg

12. ZeroLogon (CVE-2020-1472)

Деякі вразливості з цього списку продовжують використовуватися. Хоча вже доступні кошти для мінімізації наслідків. Головною з них є сумнозвісна помилка ZeroLogon, що з'явилася в серпні 2020 року. Вона виявлена ​​за місяць після її виправлення компанією Microsoft. Являє собою помилку, що стосується криптографічної вразливості в протоколі Microsoft Active Directory Netlogon Remote Protocol (MS-NRPC). Використовуючи вразливість, хакер, який не пройшов аутентифікацію, може увійти на сервери, що використовують NT LAN Manager (NTLM).

Вразливість у тому, що, намагаючись впровадити свій алгоритм шифрування в MS-NRPC, Microsoft допустила критичний недолік, унаслідок якого вектор ініціалізації (IV) був встановлений на всі нулі, а не на випадкове число. Ця вразливість дозволяє зловмиснику віддалено підробити токен перевірки достовірності для входу в мережу, встановити відоме значення пароля комп'ютера контролера домену. Хакери можуть використовувати вразливість для компрометації інших мережевих пристроїв. Згодом дослідники виявили інші способи операціоналізації Zerologon, включаючи вилучення всіх паролів домену. Zerologon був помічений серед атак таких програм-вимагачів, як Ryuk, і доступно кілька поширених експлойтів POC.

13. Сервер Microsoft Exchange (CVE-2020-0688)

CVE-2020-0688, вперше виявлена ​​в 2020 році, є ще однією вразливістю віддаленого створення коду в Microsoft Exchange Server. Вона виникає, коли серверу не вдається правильно створити унікальні ключі під час установки. Відповідно до CVE, знання ключа перевірки дозволяє ідентифікованому користувачеві по e-mail передавати довільні об'єкти для десеріалізації веб-програмою, яка працює як SYSTEM.

У вересні 2020 року CISA повідомила, що афілійовані з Китаєм суб'єкти використовують CVE-2020-0688 для дистанційного генерування коду. Ціль цього використання – зібрати цільові електронні адреси. У липні 2021 року і знову в лютому 2022 року CISA також повідомила, що хакери, що відносяться до Росії, використовували CVE-2020-0688 для підвищення переваг і отримання дистанційного створення коду на незахищених серверах Microsoft Exchange .

14. Pulse Secure Pulse Connect Secure (CVE-2019-115 CVE-2019-11510)

— вразливість стосується пристроїв Pulse Secure VPN, за її допомогою хакерам відкривається доступ до мереж жертв. Зловмисник, який не пройшов перевірку на ідентифікацію, може направити створений URL для створення вразливості для читання довільного файлу. Цей недолік був використаний китайськими та російськими суб'єктами, застосовувався у розширених кампаніях, які націлені на дані досліджень COVID-19 під час недавньої пандемії. Патчі для вразливості було випущено у квітні 2019 року. Однак сталося кілька інцидентів, коли скомпрометовані облікові записи AD використовувалися через місяці після того, як організації-жертви виправили свій пристрій VPN. CISA також повідомляє, що відреагувала на велику кількість інцидентів в уряді США та комерційних організаціях, коли злочинці використали CVE-2019-11510.

15. Fortinet FortiOS і FortiProxy (CVE-2018-13379)

CVE-2018-13379 це вразливість обходу шляху на порталі FortiProxy SSL VPN. Використовуючи її, віддалений хакер, який не пройшов перевірку на справжність, може завантажити системні файли FortiProxy за допомогою створених HTTP-запитів ресурсів. Як і слід очікувати від уразливості, яка використовувалася понад 4 роки, вона має довгу та легендарну історію. Головним призначенням CVE-2018-13379 було розгортання додатків-вимагачів та розкрадання даних. 

CVE-2018.jpg

За роки CISA випустила кілька рекомендацій, які докладно описують його використання як російськими, так і іранськими державними суб'єктами. Нещодавно, в лютому 2022 року, SentinelLabs відстежила пов'язаного з Іраном виконавця загроз TunnelVision. Він успішно використовує CVE-2018-13379, поряд з іншими згаданими вразливістями, такими як Log4Shell і ProxyShell, для атак на організації.

Висновок

Успішні команди корпоративної безпеки розуміють, що старі вразливості ніколи не зникнуть. Перераховані вище CVE часто знаходяться в центрі уваги новинних пабліків. В силу стрімкого розповсюдження агентство CISA пропонує підприємствам знайти вразливість у своєму програмному стеку до того, як це зроблять зловмисники. Користувачі також можуть придбати антивірус для ідентифікації різних вразливостей. Важливо пам'ятати, що з погляду хакерів пошук минулих лазівок залишається успішним вектором атаки і вимагає менше зусиль, ніж виявлення та розробка нових нульових днів. Особливо це актуально, коли більшість критичних недоліків зазвичай мають загальнодоступний код експлойту Proof of Concept.

Ми сподіваємось, що цей список буде корисним для команд корпоративної безпеки. Фахівці зможуть докласти максимум зусиль для захисту від компрометації через залежність від невиправленого програмного забезпечення.