0
0
Os invasores são favoritos ao analisar quais vulnerabilidades de software devem ser direcionadas, de acordo com pesquisadores da Palo Alto Networks.
Quase um em cada três, ou 31%, dos incidentes analisados pela Unidade 42 em seu ” Relatório de Resposta a Incidentes ” de 2022 resultaram de invasores que obtiveram acesso ao ambiente corporativo explorando uma vulnerabilidade de software. Seis categorias de CVE foram responsáveis por mais de 87% das vulnerabilidades exploradas: ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), Log4j, ProxyLogon (CVE-2021-26855, CVE-2021-26857 , CVE-2021-26858, CVE-2021-27065), várias vulnerabilidades nos produtos SonicWall e Fortinet e uma vulnerabilidade no Zoho ManageEngine ADSelfService Plus (CVE-2021-40539).
Em 55% dos incidentes em que a Unidade 42 conseguiu identificar a vulnerabilidade, os invasores visaram o ProxyShell. Apenas 14% desses casos envolveram o Log4j. Os pesquisadores da Unidade 42 analisaram dados de uma amostragem de mais de 600 compromissos de resposta a incidentes entre abril de 2021 e maio de 2022 para o relatório.
Embora os invasores continuem confiando em vulnerabilidades mais antigas e não corrigidas, muitos também estão analisando novas vulnerabilidades. A verificação de vulnerabilidades não é uma tarefa difícil, portanto, os invasores começam a verificar sistemas com uma vulnerabilidade recém-divulgada assim que aprendem sobre elas.
“O Relatório de Ameaças de Gerenciamento de Superfície de Ataque de 2021 [lançado em abril] descobriu que os invasores normalmente começam a verificar vulnerabilidades dentro de 15 minutos após o anúncio de um CVE”, disse a empresa em postagem no blog que acompanha o relatório de resposta a incidentes. “Na verdade, pode praticamente coincidir com a revelação se as vulnerabilidades em si e o acesso que pode ser obtido ao explorá-las forem significativos o suficiente”.
Como exemplo, os pesquisadores detectaram tentativas de varredura e exploração visando a vulnerabilidade de desvio de autenticação em dispositivos F5 BIG-IP (CVE-2022-1388) 2.552 vezes em 10 horas.
Explorar vulnerabilidades de software foi o segundo método de ataque mais comum, de acordo com a análise da Unidade 42. O principal vetor de acesso era o phishing. Ataques de credenciais de força bruta, visando principalmente o Remote Desktop Protocol, completaram os três primeiros. Esses três vetores de ataque representaram mais de três quartos dos incidentes (77%) analisados no relatório de resposta a incidentes.
FONTE: DARK READING