0 0 O relatório de pesquisa Qualys 2023 TruRisk discute as cinco vulnerabilidades mais exploradas do ano civil de 2022 e os cinco principais ‘fatos de risco’ que as equipes de segurança precisam considerar.
Para compilar o relatório, a Qualys Threat Research Unit analisou mais de 13 bilhões de eventos para obter informações sobre as vulnerabilidades encontradas em dispositivos, a segurança de aplicativos da web e a configuração incorreta de dispositivos locais.
As vulnerabilidades mais exploradas são CVE-2022-30190 (Follina); CVE-2022-26134(Atlassian); CVE-2022-22954 (VMware); CVE-2022-1040 (Firewall Sophos); e CVE-2022-24521 (Windows). Os quatro primeiros têm uma pontuação de vulnerabilidade Qualys (QVS) de 100; as últimas pontuações 95. Todos os cinco foram usados
CVE-2022-30190 , Follina, aproveita os manipuladores de URL da Microsoft, permitindo que os comandos do PowerShell forneçam execução remota de código. Sabe-se que foi usado por pelo menos quatro atores de ameaças nomeados, incluindo Fancy Bear, Wizard Spider, Luckycat e UAC-0098. A Qualys conhece seis malwares que usaram a vulnerabilidade, incluindo os ransomwares Qakbot, Skeeyah e Black Basta. A taxa de patch para essa vulnerabilidade é relativamente alta em 91,21%, levando em média 28,4 dias a partir do lançamento do patch – mas isso foi de um total de 12,8 milhões de detecções em todo o mundo, portanto, o número de dispositivos sem patch permanece alto.
CVE-2022-26134 , Atlassian, execução de código remoto não autenticado permite que um invasor execute código arbitrário em um servidor Confluence ou instância de data center. Ele foi explorado por pelo menos quatro famílias de malware, incluindo Sparkling Goblin e os dois grupos de ransomware Cerber e AvosLocker. Apesar da facilidade de execução, sua taxa de correção é baixa em 58,30%, levando em média 28,5 dias.
CVE-2022-22954 , VMware, é uma vulnerabilidade de exploração remota de código que pode ser facilmente explorada por qualquer pessoa com acesso a uma instância vulnerável. Foi uma das cinco vulnerabilidades armadas descobertas na época; dois dos quais foram adicionados à lista KEV, mas apenas um (este) aproveitado por agentes de ameaças e grupos de ransomware. Qualys menciona especificamente o grupo Rocket Kitten e as famílias de ransomware RAR1Ransom e Clop. Tem uma taxa de correção de 87,3% em uma média de 14,3 dias.
CVE-2022-1040 i, Sophos, é uma vulnerabilidade de desvio de autenticação de firewall que permite acesso não autorizado ao firewall para executar código arbitrário. Ele foi usado pelo LuckyCat e pelo DriftingCloud, grupos de ameaças e usado pela família de ransomware Ragnarok. Tem uma taxa de correção de apenas 34,7%, levando em média 70 dias.
CVE-2022-24521 , Windows, é uma vulnerabilidade que afeta o driver CLFS. Ele permite a escalação de privilégios e seria usado em conjunto com outras técnicas de exploração. Essas vulnerabilidades são normalmente usadas depois que um invasor obtém acesso ao sistema vulnerável para elevar privilégios. Foi detectado em mais de 14 milhões de instâncias. A CISA o adicionou à lista KEV dois dias antes de o NVD publicar o CVE. Sabe-se que ele foi usado pelo UNC2596 e pela Vice Society, enquanto outras explorações foram observadas em quatro famílias de malware, incluindo N13V/RedAlert, Cuba e Yunluowang. Tem uma taxa de correção de 90% em uma média de 20,6 dias.
A partir de sua análise, a equipe da Qualys isolou cinco principais fatos de risco que as equipes de segurança devem considerar. Estes são a necessidade de velocidade na triagem de vulnerabilidade; a necessidade de automação na correção; a necessidade de conhecer os intermediários de acesso inicial; a necessidade de evitar configurações incorretas em aplicativos da web; e a consciência de que configurações incorretas de infraestrutura abrem as portas para o ransomware.
Para remediar, os invasores levam pouco menos de 20 dias para armar uma vulnerabilidade, enquanto os defensores levam um pouco mais de 30 dias para corrigir. Isso deixa um período médio de exploração de 11 dias para os invasores. O grande volume de vulnerabilidades e a falta de recursos dos defensores significa que priorizar os riscos mais importantes é essencial. “As equipes de segurança precisam de uma abordagem sistemática para reduzir o ruído e priorizar a correção das vulnerabilidades mais críticas que reduzirão o risco e permitirão que elas acompanhem os agentes de ameaças”, diz o relatório ( PDF ) .
A automação é a melhor e essencial maneira de conseguir isso. “Ele permite que as organizações eliminem tarefas manuais e tediosas, o que reduz o tempo e o esforço necessários para corrigir vulnerabilidades”, diz Qualys, “e libera a equipe de segurança para lidar com questões mais prementes”.
A atividade do corretor de acesso inicial (IAB) está aumentando e precisa ser considerada. Existem duas rotas principais: explorar os dispositivos de perímetro do alvo ou aproveitar credenciais válidas (que podem ser roubadas ou compradas na dark web).
Como os IABs não fazem uso primário ou imediato do acesso adquirido, a violação pode inicialmente ser perdida pela equipe de defesa. O objetivo do IAB é vender o acesso a outros invasores, por uma taxa fixa ou uma porcentagem da receita (principalmente se esse acesso for posteriormente usado com sucesso por um grupo de ransomware. “Durante 2022, houve 17 novos CVEs adicionados ao kit de ferramentas do IAB ”, observa o relatório.
O quarto e o quinto riscos se aplicam a configurações incorretas. Quanto ao quarto risco, a Qualys observa que eles ainda prevalecem em aplicativos da web. A Qualys escaneou 370.000 aplicativos da web e encontrou 25 milhões de vulnerabilidades. Um total de 33% deles foi devido a configurações incorretas. Dois tipos notáveis
O segundo tipo de configuração incorreta – o quinto risco – está relacionado à infraestrutura. Essas configurações incorretas, diz a Qualys, abrem as portas para o ransomware. “A exfiltração de dados devido à configuração incorreta em baldes S3 é uma preocupação séria, pois pode resultar em violações de segurança de alto nível”, diz o relatório, acrescentando que arquivos individuais dentro de baldes também devem ser protegidos. “Infelizmente, apenas 40% das organizações estão atualmente utilizando controles preventivos para impedir que os arquivos sejam acessados
A ligação entre configurações incorretas e ransomware é mais facilmente vista na falha em configurar adequadamente o acesso RDP. O RDP tem sido uma rota de acesso primária para invasores de ransomware conseguirem entrar. Outras configurações incorretas dentro da infraestrutura permitem o movimento lateral.
A Qualys recomenda focar a defesa nesses cinco riscos: usar uma estratégia defensiva informada sobre ameaças para triagem de remediações de vulnerabilidade; usar automação para aplicação de patches; tenha cuidado com sistemas externos que podem ser explorados por agentes de acesso inicial; verifique todos os aplicativos da web em busca de vulnerabilidades e problemas de configuração; e entender o conceito de ‘responsabilidade compartilhada’ do uso da nuvem enquanto emprega os benchmarks de reforço da CIS para proteger as cargas de trabalho da nuvem.
FONTE: SECURITYWEEK
