0
0
A última década viu seu quinhão de momentos decisivos que tiveram grandes implicações no cenário da segurança cibernética. Vulnerabilidades graves, explorações em massa e ataques cibernéticos generalizados remodelaram muitos aspectos da segurança moderna. Para fazer um balanço dos últimos 10 anos, o fornecedor de segurança cibernética Trustwave publicou a postagem no blog Decade Retrospective: The State of Vulnerabilitie , apresentando uma lista do que considera os 10 problemas e violações de segurança de rede mais proeminentes e notáveis dos últimos 10 anos. .
“É difícil contar a história completa sobre o cenário de segurança de rede da década passada, porque as ferramentas de segurança e os registradores de eventos evoluíram tanto recentemente que muitas das métricas que consideramos garantidas hoje simplesmente não existiam 10 anos atrás”, disse o comunicado. blog lido. “No entanto, os dados disponíveis fornecem informações suficientes para identificar algumas tendências significativas. A tendência mais óbvia, com base em fontes como o National Vulnerability Database (NVD), Exploit-DB, VulnIQ e os próprios dados de segurança da Trustwave, é que os incidentes de segurança e vulnerabilidades individuais estão aumentando em número e se tornando mais sofisticados”, acrescentou.
1. Hack do SolarWinds e violação do FireEye
No que a Trustwave chamou de “violação mais incapacitante e devastadora da década”, um ataque cibernético da cadeia de suprimentos à ferramenta de monitoramento de rede SolarWinds Orion em dezembro de 2020 causou ondas de choque em todo o mundo. Várias corporações e agências governamentais dos EUA foram vítimas dessa campanha com cibercriminosos explorando as ferramentas FireEye red teaming e dados internos de inteligência de ameaças para plantar uma atualização maliciosa de backdoor (chamada SUNBURST) que impactou cerca de 18.000 clientes e concedeu aos invasores a capacidade de modificar, roubar e destruir dados nas redes. A SolarWinds afirmou mais tarde que, embora milhares de organizações tenham baixado o malware, o número real de clientes invadidos pelo SUNBURST foi inferior a 100. Esse número é consistente com as estimativas divulgadas pela Casa Branca .
Apesar de um patch ter sido lançado em 13 de dezembro de 2020, os servidores infectados existem hoje e os ataques ainda ocorrem devido ao fato de as empresas não terem conhecimento de vetores inativos configurados antes do patch, disse a Trustwave.
Falando ao CSO em dezembro do ano passado , David Kennedy, ex-hacker da NSA e fundador da empresa de consultoria de segurança TrustedSec, disse: implantado, que é um grande número de empresas de todo o mundo, e a maioria das organizações não teria capacidade de incorporar isso em como responderiam de uma perspectiva de detecção e prevenção.”
Em junho de 2021, o professor de gestão da Universidade de Richmond e especialista em gerenciamento de riscos e engenharia industrial e de operações, Shital Thekdi, disse que o ataque SolarWinds foi sem precedentes por causa de “sua capacidade de causar consequências físicas significativas”, impactando “provedores de infraestrutura crítica, potencialmente impactando energia e capacidades de fabricação” e criando uma intrusão contínua que “deveria ser tratada como um evento sério com potencial para grandes danos.[ INSCREVA- SE AGORA para CIO 100: Simpósio e Conferência de Prêmios, 15 a 17 de agosto ]
2. Exploração EternalBlue e os ataques de ransomware WannaCry/NotPetya
O próximo na lista da Trustwave é a exploração EternalBlue e os incidentes subsequentes de ransomware de 2017. O grupo de hackers Shadow Brokers vazou explorações significativas roubadas da Agência de Segurança Nacional dos EUA (NSA) que foram usadas para realizar os altamente prejudiciais surtos de ransomware WannaCry e NotPetya que afetaram muitos milhares de sistemas em todo o mundo, causando danos particulares aos serviços de saúde no Reino Unido e na Ucrânia. A exploração mais significativa, apelidada de EternalBlue, visava a vulnerabilidade CVE-2017-0144, que a Microsoft havia corrigido um mês antes do vazamento dos Shadow Brokers. De acordo com a Trustwave, a exploração EternalBlue permanece ativa até hoje com o Shodan, o popular mecanismo de busca para dispositivos conectados à Internet, atualmente listando mais de 7.500 sistemas vulneráveis.
Em 2017, os pesquisadores da RiskSense disseram : “A exploração EternalBlue é altamente perigosa, pois pode fornecer acesso instantâneo, remoto e não autenticado a quase qualquer sistema Microsoft Windows não corrigido, que é um dos sistemas operacionais mais usados existentes tanto para o lar. e mundo dos negócios”.
3. Falha Heartbleed no OpenSSL
A vulnerabilidade Heartbleed de 2014 continua batendo, estimando-se que ameaça mais de 200.000 sistemas vulneráveis até hoje, conforme Shodan, afirmou o blog da Trustwave. Pesquisadores de segurança descobriram a falha grave (CVE-2014-0160) no OpenSSL, a tecnologia de criptografia que protege a web. Foi apelidado de Heartbleed porque o bug existia na implementação do OpenSSL da extensão de pulsação TLS/DTLS (protocolos de segurança da camada de transporte) (RFC6520) e permitia que qualquer pessoa na Internet lesse a memória dos sistemas.
Heartbleed causou pânico em massa e foi rapidamente rotulado como um dos piores bugs de segurança da história da Internet, com o pioneiro da segurança da informação Bruce Schneier afirmando em seu blog : “Catastrófico é a palavra certa. Na escala de 1 a 10, isso é um 11.”
Em um artigo escrito para a CSO em 2014 , o consultor de segurança Roger Grimes estabeleceu um plano de três etapas para ajudar as organizações a obter o controle de seus ambientes OpenSSL e mitigar o bug Heartbleed, acrescentando que “OpenSSL provavelmente é executado em 60% ou mais dos sites que oferecem Conexões HTTPS e é usado para muitos outros serviços populares que usam protocolos baseados em SSL/TLS, como POP/S, IMAP/S e VPNs. Há uma boa chance de que, se você puder se conectar a um serviço baseado em SSL/TLS e não estiver executando o Microsoft Windows ou o Apple OS X, ele estará vulnerável.”
4. Execução remota de código Shellshock no Bash
Shellshock (CVE-2014-7169) é um bug na interface de linha de comando “Bourne Again Shell” (Bash) e existiu por 30 anos antes de sua descoberta em 2014, escreveu a Trustwave. “A vulnerabilidade foi considerada ainda mais grave do que o Heartbleed, pois permitia que um invasor assumisse o controle total de um sistema sem ter um nome de usuário e senha”, acrescentou a empresa. Um patch foi lançado em setembro de 2014 e o Shellshock é atualmente considerado inativo, última cena da campanha “Sea Turtle” de 2019, onde hackers usaram o sequestro de DNS para obter acesso a sistemas confidenciais.
Comentando em 2014, Daniel Ingevaldson, CTO da Easy Solutions disse : “A exploração desta vulnerabilidade depende da funcionalidade do bash de alguma forma ser acessível pela Internet. O problema com o bash é que ele é usado para tudo. Em um sistema baseado em Linux, o bash é o shell padrão e sempre que um processo habilitado para web precisar chamar um shell para processar a entrada, executar um comando (como ping, sed ou grep, etc.), ele chamará Bash .”
5. Injeção de comando remoto do Apache Struts e violação do Equifax
Essa vulnerabilidade crítica de dia zero afeta o analisador Jakarta Multipart na estrutura de desenvolvimento de aplicativos da Web Apache Struts 2, descoberta em 2017. “Esta vulnerabilidade permitiu ataques de injeção de comando remoto ao analisar incorretamente o cabeçalho HTTP Content-Type inválido de um invasor”, disse. Meses depois, a gigante de relatórios de crédito Equifax anunciou que hackers obtiveram acesso a dados da empresa potencialmente comprometendo informações confidenciais pertencentes a 143 milhões de pessoas nos EUA, Reino Unido e Canadá. Análises adicionais identificaram que os invasores usaram a vulnerabilidade (CVE-2017-5638) como o vetor de ataque inicial.
Em setembro de 2017 , Adam Meyer, estrategista-chefe de segurança da empresa de inteligência de ameaças SurfWatch Labs, disse: “Esta violação de dados em particular afetará uma pilha de autenticação utilizada que muitas organizações e agências federais usam para combater suas próprias formas de fraude”. A Trustwave considerou essa vulnerabilidade atualmente inativa.
6. Vulnerabilidades de execução especulativa Meltdown e Spectre
O que chamou de “Chipocalypse” Trustwave citou as vulnerabilidades significativas da CPU conhecidas como Meltdown e Spectre de 2018 em sua próxima listagem. Elas pertencem a uma classe de falhas chamadas vulnerabilidades de execução especulativa, que podem ser direcionadas por invasores para explorar as CPUs que executam computadores para obter acesso a dados armazenados na memória de outros programas em execução. “O Meltdown (CVE-2017-5754) quebra o mecanismo que impede que os aplicativos acessem a memória do sistema arbitrário. Spectre (CVE-2017-5753 e CVE-2017-5715) engana outros aplicativos para acessar locais arbitrários em sua memória. Ambos os ataques usam canais laterais para obter as informações do local de memória alvo”, dizia o blog.
Ambas as vulnerabilidades são significativas porque abriram possibilidades para ataques perigosos. Conforme descrito em um artigo do CSO de 2018 , “Por exemplo, o código JavaScript em um site pode usar o Spectre para enganar um navegador da Web para revelar informações de usuário e senha. Os invasores podem explorar o Meltdown para visualizar dados pertencentes a outros usuários e até outros servidores virtuais hospedados no mesmo hardware, o que é potencialmente desastroso para hosts de computação em nuvem.” Felizmente, a Trustwave afirmou que o Meltdown e o Spectre atualmente parecem inativos sem nenhum exploit encontrado na natureza.
7. BlueKeep e desktops remotos como vetor de acesso
Anos antes da mudança para o trabalho remoto em massa e dos riscos de segurança desencadeados pela pandemia do COVID-19 em março de 2020, os cibercriminosos eram conhecidos por atacar desktops remotos, explorando vulnerabilidades RDP para roubar dados pessoais, credenciais de login e instalar ransomware. No entanto, em 2019, a ameaça das áreas de trabalho remotas como vetor de ataque realmente veio à tona com a descoberta do BlueKeep, uma vulnerabilidade de execução remota de código nos Serviços de Área de Trabalho Remota da Microsoft . “Os pesquisadores de segurança consideraram o BlueKeep especialmente severo porque era “wormable”, o que significa que os invasores poderiam usá-lo para espalhar malware de computador para computador sem intervenção humana”, escreveu a Trustwave.
De fato, tamanha era a gravidade do problema, que a Agência de Segurança Nacional dos EUA (NSA) emitiu seu próprio aviso sobre o assunto . “Este é o tipo de vulnerabilidade que os cibercriminosos mal-intencionados frequentemente exploram por meio do uso de código de software que visa especificamente a vulnerabilidade. Por exemplo, a vulnerabilidade pode ser explorada para conduzir ataques de negação de serviço. É provável que seja apenas uma questão de tempo até que as ferramentas de exploração remota estejam amplamente disponíveis para essa vulnerabilidade. A NSA está preocupada que cibercriminosos maliciosos usem a vulnerabilidade em ransomware e kits de exploração contendo outras explorações conhecidas, aumentando os recursos contra outros sistemas não corrigidos”.
A Trustwave disse que o BlueKeep ainda está ativo e encontrou mais de 30.000 instâncias vulneráveis no Shodan.
8. Série Drupalgeddon e vulnerabilidades do CMS
A série Drupalgeddon consiste em duas vulnerabilidades críticas que ainda são consideradas ativas hoje pelo FBI, de acordo com a Trustwave. O primeiro, CVE-2014-3704, foi descoberto em 2014 e assume a forma de uma vulnerabilidade de injeção de SQL no sistema de gerenciamento de conteúdo de código aberto Drupal Core, que os agentes de ameaças exploraram para invadir um grande número de sites. Quatro anos depois, a equipe de segurança do Drupal divulgou outra vulnerabilidade extremamente crítica apelidada de Drupalgeddon2 (CVE-2018-7600) que resultou de validação de entrada insuficiente na API de formulário do Drupal 7 e permitiu que um invasor não autenticado executasse código remoto em instalações padrão ou comuns do Drupal . “Os invasores usaram a vulnerabilidade Drupalgeddon2 para minerar a criptomoeda Monero em servidores com instalações Drupal comprometidas”, escreveu Trustwave.
No final de 2014, o Departamento de Educação de Indiana culpou a primeira vulnerabilidade do Drupal por um ataque em seu site que o forçou a desligá-lo temporariamente enquanto o problema era resolvido.
9. Vulnerabilidade do Microsoft Windows OLE Sandworm
A penúltima vulnerabilidade na lista da Trustwave é a vulnerabilidade CVE-2014-4114 (OLE) do Microsoft Windows Object Linking and Embedding, detectada em 2014. empresas do setor de energia”, dizia o blog. A vulnerabilidade ganhou o apelido de Sandworm devido ao grupo de invasores que lançou a campanha – o “Sandworm Team”. A vulnerabilidade foi considerada atualmente inativa pela Trustwave.
10. Vulnerabilidades do Ripple20 e o crescente cenário de IoT
Por último na lista da Trustwave estão as vulnerabilidades do Ripple20 que destacam os riscos que cercam o cenário de expansão da IoT. Em junho de 2020, a empresa israelense de segurança de IoT JSOF publicou 19 vulnerabilidades coletivamente chamadas Ripple20 para ilustrar o “efeito cascata” que elas terão nos dispositivos conectados nos próximos anos. “As vulnerabilidades estavam presentes na pilha de rede Treck, usada por mais de 50 fornecedores e milhões de dispositivos, incluindo dispositivos de missão crítica em saúde, data centers, redes elétricas e infraestrutura crítica”, afirmou Trustwave.
Conforme descrito pelo CSO em 2020 , algumas das falhas podem permitir a execução remota de código pela rede e levar a um comprometimento total dos dispositivos afetados. As vulnerabilidades do Ripple20 permanecem ativas hoje, disse a Trustwave.
Vulnerabilidades apresentam riscos muito tempo após a detecção se as organizações não conseguirem corrigir
A Trustwave citou o fato de que várias das vulnerabilidades presentes em sua lista foram detectadas há quase uma década, mas muitas delas continuaram a apresentar riscos ao longo do tempo, mesmo após a disponibilização de patches e correções. Isso sugere organizações:
- Falta a capacidade de rastrear e registrar vários serviços em execução em uma rede
- Lute para garantir e aplicar patches aos ativos sem interromper o fluxo de trabalho
- São lentos para reagir aos dias zero descobertos.
É provável que isso tenha um significado maior, devido a um aumento acentuado nas explorações de dia zero detectadas em 2021, acrescentou a Trustwave.
Alex Rothacker, diretor de pesquisa de segurança da Trustwave Spiderlabs, diz ao CSO que as organizações estão constantemente tentando corrigir as vulnerabilidades mais recentes. “Isso é extremamente desafiador, especialmente para organizações menores com equipe limitada ou sem equipe dedicada. Mesmo para organizações maiores, nem sempre há um patch prontamente disponível. Tome Log4j como um exemplo. A maioria das versões vulneráveis do Log4j faz parte de pacotes maiores de software de terceiros e muitos desses fornecedores de terceiros ainda estão lutando para atualizar completamente seus aplicativos complexos.”
Além disso, com o passar do tempo, o foco muda para a próxima vulnerabilidade, levando a patches mais antigos às vezes caindo no esquecimento, acrescenta Rothacker. “Quanto mais antiga uma vulnerabilidade, mais informações estão disponíveis sobre como explorá-la. Isso basicamente torna a vulnerabilidade um fruto fácil, exigindo menos habilidades para o invasor tirar proveito da vulnerabilidade conhecida. Para atacantes sofisticados, é um alvo fácil.”
FONTE: CSO ONLINE