Статьи

За лаштунками того, як було обрано ТОР вразливості 2021 року і що залишилося поза увагою

15 июня, 2022. 10:06 За матеріалами Oberig IT
У Threat Landscape Retrospective за період 2021 року було розглянуто ТОП-5 найнебезпечніших вразливостей,а також інші з високим ступенем впливу, які мало не потрапили до ТОП-списку. Завдання вибору п’яти найкритичніших вразливостей за 2021 рік було реалізовано командою Security Response Team при складанні ретроспективи ландшафту загроз (TLR). У цій статті відкрито завісу над процесом виконання цього завдання – розкрито методологію відбору та селекції.

Мета матеріалу – доповнити звіт TLR, місія якого – допомогти спеціалістам у галузі кібербезпеки постійним аналізом ландшафту загроз, включаючи рекомендації урядових регуляторів, виробників ПЗ, дослідників уразливостей та інцидентів.

Як було обрано Топ-5 вразливостей 2021

Коли було складено п’ятірку головних вразливостей TLR 2020 року, було простіше вибрати окремі CVE надалі.

Більшість з п’яти основних CVE 2020 продовжують переслідувати організації і в 2021 році.

Одна з них – CVE-2020-1472, вона ж Zerologon – навіть перейшла до п’ятірки 2021 року.

З іншого боку, 2021 був більше пов’язаний з кластерами вразливостей, які ілюстрували «ландшафт» кібербезпеки.

Тому вибрали “репрезентативні” CVE – обравши одну вразливість із кластера, яка ефективно уособлює клас дефектів або конкретний продукт, який був об’єктом пильної уваги протягом року.

Наприклад, повний TLR звіт охоплює вісім вразливостей у Microsoft Exchange Server, але CVE-2021-26855, вона ж ProxyLogon, була першою, що набула широкого поширення, яке триває досі.

Це підводить до одного з ключових критеріїв прийняття рішення на вибір першої п’ятірки: довгостроковий вплив.

Можна помітити, що CVE-2021-44228, вона Log4Shell, не фігурує в списку. Це пов’язано з тим, що довгострокові наслідки вразливостей Log4j 2.0 ще не відомі.

Можливо, Tenable побачили довгострокове використання цих дефектів, але на момент публікації TLR на 2021 вони були ще надто новими, щоб мати такий рівень впливу.

У ході аналізу компанія знову і знову переконується, що найбільший ризик для організацій становлять вразливості «з довгим хвостом».

Як правило, вразливості нульового дня стають більш проблематичними для більшості організацій після того, як вони переходять до розряду застарілих.

Ключові критерії для вибору ТОР-5 вразливостей пов’язані з:

1. Окремим продуктом, який став об’єктом пильної уваги суб’єктів загроз.

2. Продукт широко експлуатується.

3. Представляє високу цінність як вектор атаки.

4. Торкається повсюдно суміжних поширених продуктів, окремих протоколів.

Тепер давайте розглянемо, як вразливості, які не увійшли до топ-5, відповідають цим критеріям.

 

*Звертаємо увагу, що в цьому контексті оцінка критичності вразливостей VPR компанії Tenable розраховується щоночі. Цей запис був опублікований станом на 13 березня 2022 і відображає VPR на той момент.

Вразливість нульового дня: CVE-2021-20016: SonicWall SMA

У січні 2021 року компанія SonicWall розкрила інформацію про те, що її внутрішні системи були зламані зловмисниками, а у лютому надійшло повідомлення про CVE-2021-20016, вразливість нульового дня в її Secure Mobile Access (SMA) SSL VPN.

Виявлена NCC Group вразливість CVE-2021-20016 є вразливістю, пов’язаною з впровадженням коду SQL, який дозволяє віддаленому зловмиснику, який не пройшов автентифікацію, отримати доступ до облікових даних для входу та відомостей про сеанс.

Атаки, що використовують CVE-2021-20016, були пов’язані зі здирницьким ПЗ FiveHands від компанії Mandiant, хоча NCC Group також спостерігала «ознаки невиборчої» експлуатації невдовзі після первинного оголошення SonicWall, до появи виправлень.

NCC Group не стала розкривати значні подробиці або докази концепції (PoC) для CVE-2021-20016, оскільки не хотіла сприяти майбутнім атакам.

Чому ця вразливість не потрапила до рейтингу ТОП-5?

Хоча CVE-2021-20016 відповідає багатьом критеріям, використаним для відбору першої п’ятірки, вона не потрапила до неї, оскільки не мала такого ж ефекту, як ті, що потрапили до списку. Можливо, через те, що не було опубліковано жодного PoC, не було помічено широкомасштабної експлуатації в масштабах таких уразливостей, як ProxyLogon, PrintNightmare або навіть інших уразливостей у SSL VPN.

У зв’язку з цим, було вирішено, що недолік Pulse Connect Secure набагато краще ілюструє ризики для продуктів VPN.

Оскільки CVE-2021-22893 вже була в першій п’ятірці, Tenable вважали, що місця, що залишилися, краще використовувати для інших ілюстративних вразливостей, щоб дати повне уявлення про ландшафт загроз.

Вразливість нульового дня: CVE-2021-40444: Microsoft MSHTML

CVE-2021-40444– це вразливість віддаленого виконання коду у платформі MSHTML (Trident) від Microsoft. Microsoft оголосив про цю вразливість 7 вересня 2021 у відповідь на активну експлуатацію, але не випускав виправлень до спеціального дня “патчів”, який відбувся тижнем пізніше.

На той час на GitHub було опубліковано близько двох десятків репозиторіїв PoC. Для використання цієї вразливості зловмисник може використовувати соціальну інженерію, наприклад, фішинг, щоб переконати цільові об’єкти відкрити шкідливий документ Microsoft Office.

CVE-2021-40444 експлуатувалася вразливістю нульового дня в обмежених цільових атаках і продовжує експлуатуватися, зокрема, в кібершпигунських атаках.

Після того, як було опубліковано повне повідомлення, Microsoft підтвердив, що «безліч суб’єктів загроз, включаючи афілійовані компанії, що займаються здирством як послугою», прийняли CVE-2021-40444 на озброєння.

Хоча RiskIQ виявив, що початкові атаки, що використовують CVE-2021-40444, мають спільну інфраструктуру з сімейством здирницьких програм Ryuk, дослідники відзначили, що цей збіг не є переконливим.

 

Чому ця вразливість не потрапила до рейтингу ТОП-5?

Незважаючи на те, що атаки, що експлуатують CVE-2021-40444, були прийняті на озброєння групами здирників, вони були цільовими і використовували спеціально розроблені фішингові приманки, що вимагають взаємодії з користувачем. Така специфіка обмежує сферу застосування цієї вразливості, і, хоча очікувалося побачити її використання в фішингових атаках, вона не відповідає тому рівню занепокоєння, який відчувався щодо вразливостей Microsoft Exchange.

Вразливості Kaseya VSA: CVE-2021-30116, CVE-2021-30119, CVE-2021-30120

Існує сумний прецедент, коли інциденти кібербезпеки псували святкові вихідні. Про найзначніші з них оголосила компанія Kaseya Limited 5 липня 2021 року, а саме, що три вразливості нульового дня у її програмному забезпеченні для віддаленого моніторингу та управління Virtual System Administrator (VSA) були використані в широкомасштабній атаці здирницького ПЗ, яку пізніше пов’язали з групою REvil ransomware.

_1tenable_cve

Розкриття та розслідування цього інциденту було ураганом, що швидко розвивається під час святкових вихідних четвертого липня у США. Вперше про атаку було повідомлено 2 липня, а виправлення було випущено 11 липня. Після липневого інциденту в продуктах Kaseya було розкрито ще більше вразливостей, але жодна з них не була використана, а одна (CVE-2021-40386) залишається невиправленою на момент цієї публікації.

Чому вони не потрапили до рейтингу ТОП-5?

Ці вразливості нульового дня належать до підкатегорії, які викликали великий резонанс, але вони не мали «довгих хвостів», які спостерігалися в інших вразливостей у першій п’ятірці.

За словами Kaseya, – «Тільки дуже невеликий відсоток наших клієнтів постраждав – в даний час їх кількість оцінюється менш ніж у 40 по всьому світу». Цікаво, що тільки CVE-2021-30116 була додана в каталог відомих вразливостей, що експлуатуються, Агенції з кібербезпеки та інфраструктурної безпеки.

Хоча це не обов’язково означає, що не було відомо про експлуатацію інших вразливостей, це дає додатковий контекст для оцінки їх у порівнянні з рештою першої п’ятірки.

Вразливість PetitPotam (CVE-2021-36942)

PetitPotam є дещо унікальним у цьому списку. Вона пов’язана з атакою ретрансляції менеджера локальної мережі нової технології (NTLM), і не так уважно оцінюється як окрема вразливість.

PetitPotam, вперше розкрита Жілем Ліонелем, може змусити контролери домену пройти автентифікацію в контрольованому зловмисником пункті призначення. Незабаром після розкриття інформації її PoC була взята на озброєння групами розробників здирницького ПЗ, такими як LockFile.

Спочатку Microsoft позначив цю проблему як “не може бути виправлена” і продовжує покладатися в основному на свій загальний посібник із пом’якшення наслідків для захисту від NTLM Relay Attacks.

З цією атакою пов’язана вразливість CVE-2021-36942, яка є вразливістю Windows LSA Spoofing Vulnerability, що отримала оцінку CVSSv3 7,8 і виправлена в серпневому випуску Patch Tuesday. Однак, згідно з пізнішими повідомленнями, цей патч був неповним. Важливо, що в зазначеному випадку сама вразливість не відображає справжніх ризиків цього вектора атаки.

Чому вона не потрапила до рейтингу

PetitPotam використовувалася суб’єктами загроз так само, як і Zerologon, але з меншою поверхнею атаки та більш обмеженим застосуванням. CVE, пов’язана з PetitPotam, має найнижчий бал CVSSv3 у списку, але це не було фактором у нашому рішенні. Можливо, більш примітно те, що вразливість з оцінкою 5,3 взагалі потрапила до десятки найкращих.

Вразливості Accellion File Transfer Appliance: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104

Наприкінці 2020 року та на початку 2021 року велика кількість організацій – було відстежено понад 40 –зазнали злому з використанням чотирьох вразливостей нульового дня у пристрої File Transfer Appliance (FTA) компанії Accellion.

_2_tenable_cve2

Майже відразу після оголошення цих атак деякі з них були віднесені до групи Clop/CL0P ransomware. Розкриття інформації про порушення, пов’язані з Accellion FTA, тривало протягом усього початку 2021 року, що зробило ці вразливості нульового дня одними з найбільш вживаних у першій половині року.

Чому вони не потрапили до рейтингу

Хоча ці вразливості вплинули на організації (зламані за їх допомогою), ефект був відносно короткочасним. Атаки, що використовують Accellion, досягли піку в січні 2021 року, і ці вразливості, схоже, не мають «довгого хвоста», характерного для вразливостей першої п’ятірки.

Загальні ознаки для вразливих, що вибули з ТОП-5 списку

Одна з особливостей полягає в тому, що вони є не окремими CVE, а скоріше групами або ланцюжками вразливостей.

Хоча це було визначальним чинником під час виборів першої п’ятірки, це показує важливий компонент критеріїв прийняття рішення.

Були знайдені вразливості, які не тільки становили значні, довгострокові ризики для організацій, а й були унікальними прикладами та ілюстраціями. Можна було б скласти першу п’ятірку лише з недоліків у Microsoft Exchange Server і Print Spooler, але натомість було вирішено виділити різноманітний набір продуктів, які можуть бути розгорнуті у багатьох організаціях.

Також цікаво, що всі вразливості, які не потрапили до списку, були вразливими нульового дня, тоді як тільки дві з фінальної п’ятірки були такими.

У 2021 році спостерігалася більша кількість загроз та атак: 83% з використанням вразливостей нульового дня, які були відстежені в рамках TLR 2021.

Ці вразливості були у відкритому доступі.

Хоча наслідки цих вразливостей гостро відчувалися тими організаціями, які були зламані за їх допомогою, широкомасштабний вплив був відсутній.

У зловмисників є безліч вразливостей, серед яких вони можуть обирати. Ті, що потрапили до п’ятірки найкращих, представляють для них особливий інтерес.

Організаціям, що постраждали від будь-якої з розглянутих тут вразливостей, рекомендується найближчим часом розробити план їх виявлення та усунення.

Ідентифікація вразливих систем

_3_tenable

 

Компанія Tenable випустила шаблони сканування для Tenable.io, Tenable.sc та Nessus Professional, які попередньо налаштовані для швидкого сканування на вразливості, що обговорюються у цьому звіті.

Клієнти Tenable.io отримали нову консоль та бібліотеку віджетів, а користувачі Tenable.sc – нову панель інструментів, що охоплює Ретроспективу ландшафту загроз 2021 року.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Tenable і організації партнерських тренінгів звертайтеся, будь ласка: 
[email protected], +38 099 427 94 04.

Джерело: https://bit.ly/3F9ckqV

 

Материалы по теме:
Комментарии: