هشدار مهم: آسیب پذیری های قدیمی همچنان بین مهاجمان محبوب هستند!

بخش عمده حملات باج افزاری در سال گذشته به دلیل بهره برداری از حفره ها و آسیب پذیری های قدیمی بوده است!

بیشتر آسیب پذیری هایی که مهاجمان باج افزاری از آنها در حملات سال 2022 استفاده کرده اند از سالهای قبلتر وجود داشته و مهاجم از این طریق ماموریت خود را انجام داده است.
اغلب آسیب پذیری ها در نرم افزارهای مایکروسافت، اوراکل، VMware، F5، SonicWall و سایر سازندگان وجود داشته است. گزارشهای اخیر نشان میدهد که خطر آشکار و مهمی برای سازمانهایی که هنوز از نرم افزارهای وصله نشده استفاده می کنند، وجود دارد!!

آسیب پذیری های قدیمی همچنان محبوب هستند!

گزارشهایی مبتنی بر آنالیز داده ها منتشر شده که نگاه دقیق تری به آسیب پذیری های رایج مورد استفاده در حملات باج افزاری داشته است. در این گزارشها آمده است که مهاجمان باج افزاری جمعا از 344 آسیب پذیری منحصر به فرد در حملات سال گذشته استفاده کرده اند که نسبت به سال 2021 افزایش داشته است. قدیمی ترین آسیب پذیری های موجود در این مجموعه سه آسیب پذیری RCE که از سال 2012 در محصولات اوراکل وجود داشته اند( CVE-2012-1710  و CVE-2012-1723 و CVE-2012-4681 ) می باشد.
طبق گفته محققین، داده ها نشان میدهد که اپراتورهای باج افزاری آسیب‌پذیری‌ های جدید را هم سریع ‌تر از هر زمان دیگری در سال گذشته مورد استفاده قرار دادند اما بسیاری از آنها نیز همچنان به آسیب‌پذیری ‌های قدیمی که در سیستم‌ های سازمانی وصله‌ نشده باقی می‌مانند، تکیه کردند. به همین دلیل است که استفاده از راهکارهای مدیریت وصله های امنیتی بسیار توصیه می شود.

بزرگترین تهدیدات

در بین خطرناکترین آسیب پذیری هایی که شناسایی شده اند، 54 مورد وجود دارد که به مهاجم امکانات متعددی در راستای انجام حملات خود میدهند. در این بین آسیب پذیری هایی که به مهاجم اجازه دسترسی داخلی، رسیدن به پایداری، رسیدن به امتیازات سطح بالا، دور زدن راهکارهای امنیتی، دسترسی به مجوزها، کشف دارایی هایی که مهاجم به دنبال آن است، حرکت در شبکه، جمع آوری داده ها و اجرای عملیات نهایی را میدهد.
از جمله می توان به آسیب پذیری های CVE-2017-18362، CVE-2017-6884، CVE-2020-36195 در محصولات ConnectWise، Zyxel و QNAP می توان اشاره کرد که در حال حاضر توسط اسکنرها شناسایی نمی شوند.

نقص های رایج گسترده، محبوب تر هستند!

مهاجمان باج افزاری حفره های موجود در محصولات چندگانه را ترجیح میدهد. یکی از محبوب ترین حفره ها در بین مهاجمان آسیب پذیری CVE-2018-3639 که در سال 2018 کشف شد، می باشد. این آسیب پذیری در 345 محصول از 26 سازنده وجود داشت. مثال دیگری آسیب پذیری CVE-2021-4428 بوده که در حال حاضر حداقل 6 گروه باج افزار از آن بهره برداری می کنند. این نقص حداقل در 176 محصول از 21 سازنده از جمله اوراکل ، Red Hat ، Apache ، Novell و آمازون وجود دارد.
دو آسیب پذیری دیگری که به دلیل شیوع گسترده، توسط مهاجمان استفاده شده، آسیب پذیری CVE-2018-5391 در هسته لینوکس و CVE-2020-1472 که یک آسیب پذیری حیاتی دسترسی به مجوزها در Microsoft Netlogon است، می باشند.
حداقل 9 گروه باج افزاری از این آسیب پذیری ها استفاده کرده و همچنان جزو آسیب پذیری های محبوب در بین مهاجمان سایبری می باشند.
در مجموع 118 مورد از آسیب پذیری های یافت شده ای که در حملات باج افزاری مورد استفاده قرار گرفته اند، در محصولات چندگانه وجود داشته اند، در واقع مهاجمان سایبری بسیار به حفره های امنیتی ای که در محصولات بیشتری وجود دارند، علاقمند هستند.
131 مورد از این 344 آسیب پذیری که سال پیش در حملات باج افزاری مورد بهره برداری قرار گرفته اند، در پایگاه داده آسیب پذیری های شناخته شده آژانس امنیت زیر ساخت و امنیت سایبری اصلا وجود نداشته است. این بانک اطلاعاتی شامل حفره های امنیتی ای که توسط مهاجمان مورد بهره برداری قرار گرفته اند و به طور خاص توسط این آژانس خطرناک تلقی شده اند، می باشند.
طبق این تحقیقات 57مورد از آسیب پذیری های مورد استفاده در حملات باج افزاری سال پیش توسط گروههایی نظیر LockBit، Conti و BlackCat از جمله آسیب پذیری ها با درجه اهمیت پایین یا متوسط بوده است. هشدار: این موضوع می تواند در سازمانهایی که از این درجه بندی های آسیب پذیری برای اولویت دهی به انجام به روز رسانی استفاده می کنند، مشکل ساز باشد!

پیشنهاد می گردد حتما از آنتی ویروس هایی استفاده کنید که قابلیت شناسایی بالایی در مورد آسیب پذیری ها (Vulnerability Scanner) داشته باشند. به تنظیمات IDS/IPS آنتی ویروس و فایروالها نیز توجه داشته و آنها را به صحیح ترین شکل ممکن پیکربندی نمایید.

منبع: https://www.darkreading.com