0
0
Repositórios de controle de versão expostos, segredos vazados em repositórios de código público, um subdomínio vulnerável a takover, caçambas Amazon S3 expostos e servidores microsoft exchange server vulneráveis à exploração CVE-2021-42321 são os caminhos de exploração mais comuns de meio para grandes empresas deixados abertos para atacantes no primeiro trimestre de 2022, de acordo com Mandiant.
Abrindo portas para atacantes
A empresa baseou a lista nos problemas mais comuns descobertos pela varredura contínua da superfície de ataque externo de seus clientes de 1º de janeiro de 2022 a 31 de março de 2022.
Outros problemas potenciais menos frequentemente encontrados incluem serviços e portas expostos, msconfigurations e vulnerabilidades específicas (por exemplo, em SAP, Log4j, etc.).
Essas exposições acontecem principalmente com a falta de patches oportunos e uma configuração perpétua em ativos voltados para a internet. As configurações erradas e a má implementação de políticas também são uma razão proeminente por trás de repositórios de dados expostos.
Repositórios de controle de versão expostos podem dar aos atacantes acesso ao código fonte do aplicativo, arquivos de configuração, dados confidenciais ou informações confidenciais; baldes S3 expostos geralmente contêm dados confidenciais da empresa; segredos como senhas/credenciais de autenticação, chaves criptográficas e tokens de API que podem ser adicionados inadvertidamente a repositórios de código público, como GitHub ou GitLab ou Google Cloud Build, podem ser encontrados por invasores e usados para publicar códigos maliciosos.
“Configurar subdomínios para apontar para um serviço de terceiros é uma prática comum para quase todas as organizações. No entanto, subdomínios abandonados apresentam um vetor de risco sutil, mas importante”, observa a empresa.
“Subdomínios abandonados apontando para um provedor que permite configuração e código fornecidos pelo invasor podem ser usados para comprometer credenciais de sessão ou em campanhas de phishing.”
Vulnerabilidades do Microsoft Exchange Server
Há uma razão pela qual as vulnerabilidades no Microsoft Exchange Server sempre recebem atenção dos invasores e da comunidade de segurança: o Exchange Server é uma das soluções de e-mail mais utilizadas, especialmente por empresas e organizações governamentais, e comprometendo-o permite que os invasores acessem contas de e-mail da empresa/governo, enviem spam malicioso que é mais provável para contornar verificações de segurança, etc.
A Mandiant destacou várias vulnerabilidades ativamente exploradas que ainda estão presentes em muitas instâncias expostas do Exchange Server: CVE-2021-42321, CVE-2021-31206, CVE-2021-26855 (também conhecido como ProxyLogon) e CVE-2021-34473 (também conhecido como uma das falhas do ProxyShell).
Olhando para a superfície de ataque externo como os atacantes fazem
As empresas devem monitorar constantemente sua superfície de ataque externo em constante mudança e agir rapidamente quando detectam buracos exploráveis e exploram caminhos Isso significa não apenas fechá-los, mas também verificar se os atacantes podem ter se aproveitado deles durante a janela de oportunidade que eles forneceram.
“Estabelecer uma visão completa da superfície de ataque permite a criação de perfis de ameaças cibernéticas, priorizações de atualizações e mudanças de config, contexto para testes de penetração e resposta e remediação de incidentes”, concluiu a empresa.
FONTE: HELPNET SECURITY