Lista das 10 vulnerabilidades mais exploradas divulgada pelo FBI, DHS CISA

Views: 578

Quando o Home Office se tornou uma necessidade repentina e urgente em março, muitas organizações reuniram serviços de colaboração em nuvem, como o Microsoft Office 365, para sua equipe recém-bloqueada.

Infelizmente e compreensivelmente, a pressão era alta. As pessoas estavam se esforçando. Assim, vários desses serviços foram colocados juntos com uma asa, uma oração e configurações erradas que os configuraram como alvo de atores de ameaças maliciosas.

De acordo com um novo relatório que abrange as 10 principais vulnerabilidades exploradas rotineiramente dos braços de cibersegurança dos EUA – o Departamento de Segurança Interna de Segurança Cibernética e Segurança de Infraestrutura (DHS CISA) e o FBI – a mudança abrupta para o trabalho de casa que veio em março levou a uma implantação rápida e às vezes precipitada de serviços de colaboração em nuvem. Os descuidos resultantes nas configurações de segurança deixaram algumas organizações vulneráveis a ataques. Essa é apenas uma das vulnerabilidades que as agências estão vendo sendo exploradas este ano pelo que dizem ser sofisticados atores cibernéticos estrangeiros.

Outra tendência para 2020 são os atores cibernéticos maliciosos que estão cada vez mais visando vulnerabilidades de VPN (Virtual Private Network, rede virtual privada virtual) não corrigidas. Estes são dois dos ataques específicos de vulnerabilidade VPN que eles detectaram:

• Uma vulnerabilidade arbitrária de execução de código em dispositivos Citrix VPN, conhecida como CVE-2019-19781, que foi detectada em explorações na natureza. Citrix enviou patches como servidores vulneráveis foram atacados em janeiro. Como observamos na época, Citrix foi vago sobre o que a falha permitiria que os atacantes fizessem, mas com base na análise das atenuações propostas pela Citrix, a especulação era de que a questão permite a travessia do diretório: em outras palavras, oferecer aos atacantes uma maneira de acessar diretórios restritos sem ter que autenticar.
• Uma vulnerabilidade arbitrária de leitura de arquivos nos servidores Pulse Secure VPN, conhecido como CVE-2019-11510, que ainda está atraindo atores mal-intencionados. O que é digno de soluço é que, apesar dos patches estarem disponíveis desde abril de 2019, a partir de janeiro de 2020, os invasores ainda estavam usando as falhas para entrar em servidores não corrigidos, invadir redes da empresa e instalar o ransomware REvil (Sodinokibi).

Sistemas não corrigidos lubrificam as rodas para atacantes

Tudo isso para 2020, e ainda nem chegamos à carne do relatório: as 10 vulnerabilidades mais exploradas para os anos de 2016 a 2019. Antes de chegarmos a essa lista, porém, tome cuidado com o que as empresas de cibersegurança dos EUA estão nos dizendo: ou seja, que é vital que profissionais de segurança de TI em organizações do setor público e privado coloquem “uma prioridade maior em corrigir as vulnerabilidades mais comumente conhecidas exploradas por atores cibernéticos estrangeiros sofisticados”.

A justificativa por trás do relatório é fornecer detalhes sobre vulnerabilidades que são rotineiramente exploradas por atores cibernéticos estrangeiros – principalmente Vulnerabilidades e Exposições Comuns (CVEs) – para que as organizações reduzam o risco dessas ameaças estrangeiras, de acordo com os EUA.

Deixar sistemas sem correção está facilitando como torta para aqueles atores de ameaças estrangeiras. Do relatório:

Os atores cibernéticos estrangeiros continuam a explorar vulnerabilidades de software conhecidas publicamente – e muitas vezes datadas – contra amplos conjuntos de alvos, incluindo organizações do setor público e privado. A exploração dessas vulnerabilidades muitas vezes requer menos recursos em comparação com explorações de dia zero para as quais não há patches disponíveis.

Em outras palavras, há maneiras de forçar os atacantes a trabalhar muito mais: ou seja, remendando em tempo hábil, assim que possível quando os patches saem:

Os setores público e privado poderiam degradar algumas ameaças cibernéticas estrangeiras aos interesses dos EUA através de um esforço crescente para corrigir seus sistemas e implementar programas para manter o sistema atualizado. Uma campanha concertada para corrigir essas vulnerabilidades introduziria atrito no tradecraft operacional dos adversários estrangeiros e os forçaria a desenvolver ou adquirir explorações mais caras e menos amplamente eficazes. Uma campanha de correção concertada também reforçaria a segurança da rede, concentrando escassos recursos defensivos nas atividades observadas de adversários estrangeiros.

Top 10 explorações

A lista abaixo, em nenhuma ordem particular, é onde focar uma campanha de patches concertada: no Top 10 Vulnerabilidades Mais Exploradas para 2016-2019. Incluem-se seus números CVE, produtos vulneráveis, malware associado e estratégias de mitigação. Eu também incluí uma amostra de apenas alguns dos coberturas da Naked Security de cada vulnerabilidade.

As listas de malware associados correspondentes a cada CVE não são exaustivas. Em vez disso, pretende-se identificar uma família de malware comumente associada à exploração da CVE. Você também pode acessar a lista como um PDF . Além disso, os EUA deram mitigações para vulnerabilidades exploradas em 2020.

CVE-2017-11882

• Produtos Vulneráveis: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 Produtos
• Malware associado: Loki, FormBook, Pony/FAREIT
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2017-11882
• CoI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133e
• Nossa cobertura.

CVE-2017-0199

• Produtos vulneráveis: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1
• Malware associado: FINSPY, LATENTBOT, Dridex
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2017-0199
• COI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133g, https://www.us-cert.gov/ncas/analysis-reports/ar20-133h, https://www.us-cert.gov/ncas/analysis-reports/ar20-133p
• Nossa cobertura.

CVE-2017-5638

• Produtos vulneráveis: Apache Struts 2 2.3.x antes de 2.3.32 e 2.5.x antes de 2.5.10.1
• Malware associado: JexBoss
• Mitigação: Upgrade para Struts 2.3.32 ou Struts 2.5.10.1
• Mais detalhes:
  • https://www.us-cert.gov/ncas/analysis-reports/AR18-312A
  • https://nvd.nist.gov/vuln/detail/CVE-2017-5638
  • Nossa cobertura.

CVE-2012-0158

• Produtos Vulneráveis: Microsoft Office 2003 SP3, 2007 SP2 e SP3, e 2010 Gold e SP1; Componentes web do Office 2003 SP3; SQL Server 2000 SP4, 2005 SP4 e 2008 SP2, SP3 e R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2 e 2009 Gold e R2; Visual FoxPro 8.0 SP1 e 9.0 SP2; e Visual Basic 6.0
• Malware Associado: Dridex
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais detalhes:
  • https://www.us-cert.gov/ncas/alerts/aa19-339a
  • https://nvd.nist.gov/vuln/detail/CVE-2012-0158
• COI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133i, https://www.us-cert.gov/ncas/analysis-reports/ar20-133j, https://www.us-cert.gov/ncas/analysis-reports/ar20-133k, https://www.us-cert.gov/ncas/analysis-reports/ar20-133l, https://www.us-cert.gov/ncas/analysis-reports/ar20-133n, https://www.us-cert.gov/ncas/analysis-reports/ar20-133o
• Nossa cobertura.

CVE-2019-0604

• Produtos vulneráveis: Microsoft SharePoint
• Malware associado: China Chopper
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais Detalhes: https://nvd.nist.gov/vuln/detail/CVE-2019-0604
• Nossa cobertura.

CVE-2017-0143

• Produtos Vulneráveis: Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold e R2; Windows RT 8.1; e Windows 10 Gold, 1511 e 1607; e Windows Server 2016
• Malware associado: Múltiplo usando o EternalSynergy e eternalblue exploit kit
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2017-0143
• Nossa cobertura.

CVE-2018-4878

• Produtos vulneráveis: Adobe Flash Player antes de 28.0.0.161
• Malware associado: DOGCALL
• Mitigação: Atualize a instalação do Adobe Flash Player para a versão mais recente
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2018-4878
• CoI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133d
• Nossa cobertura.

CVE-2017-8759

• Produtos vulneráveis: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 e 4.7
• Malware associado: FINSPY, FinFisher, Wingbird
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais Detalhes: https://nvd.nist.gov/vuln/detail/CVE-2017-8759
• CoI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133f
• Nossa cobertura.

CVE-2015-1641

• Produtos vulneráveis: Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services no SharePoint Server 2010 SP2 e 2013 SP1, e Office Web Server Apps 2010 SP2 e 2013 SP1
• Malware associado: Toshliph, UWarrior
• Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2015-1641
• CoI: https://www.us-cert.gov/ncas/analysis-reports/ar20-133m
• Nossa cobertura.

CVE-2018-7600

• Produtos vulneráveis: Drupal antes de 7,58, 8,x antes de 8.3.9, 8.4.x antes de 8.4.6 e 8.5.x antes de 8.5.1
• Malware associado: Kitty
• Mitigação: Atualize para a versão mais recente do Núcleo Drupal 7 ou 8.
• Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2018-7600
• Nossa cobertura.

Mitigações para vulnerabilidades exploradas em 2020

CVE-2019-11510

• Vulnerable Products: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 and Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15
• Mitigation: Update affected Pulse Secure devices with the latest security patches.
• More Detail:
  • https://www.us-cert.gov/ncas/alerts/aa20-107a
  • https://nvd.nist.gov/vuln/detail/CVE-2019-11510
  • https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

CVE-2019-19781

• Vulnerable Products: Citrix Application Delivery Controller, Citrix Gateway, and Citrix SDWAN WANOP
• Mitigation: Update affected Citrix devices with the latest security patches
• More Detail:
  • https://www.us-cert.gov/ncas/alerts/aa20-020a
  • https://www.us-cert.gov/ncas/alerts/aa20-031a
  • https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html
  • https://nvd.nist.gov/vuln/detail/CVE-2019-19781
  • https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

Descuidos nas configurações de segurança do Microsoft O365

• Produtos vulneráveis: Microsoft O365
• Mitigação: Siga as recomendações de segurança do Microsoft O365
• Mais detalhes: https://www.us-cert.gov/ncas/alerts/aa20-120a

Fraquezas de cibersegurança organizacional

• Produtos vulneráveis: Sistemas, redes e dados
• Mitigação: Siga as melhores práticas de segurança cibernética
• Mais detalhes: https://www.cisa.gov/cyber-essentials

O relatório também inclui recursos que podem ajudar as organizações a afastar os invasores, incluindo vários serviços gratuitos de triagem e teste da CISA, recursos on-line e muito mais.

FONTE: SOPHOS