Muchas vulnerabilidades que los operadores de ransomware usaron en los ataques de 2022 tenían años y allanaron el camino para que los atacantes establecieran persistencia y se movieran lateralmente para ejecutar sus misiones.
Las vulnerabilidades, en productos de Microsoft, Oracle, VMware, F5, SonicWall y varios otros proveedores, presentan un peligro claro y presente para las organizaciones que aún no las han remediado, reveló un nuevo informe de Ivanti esta semana.
Vulns viejos siguen siendo populares
El informe de Ivanti se basa en un análisis de los datos de su propio equipo de inteligencia de amenazas y de los de Securin, Cyber Security Works y Cyware. Ofrece una mirada en profundidad a las vulnerabilidades que los malos actores comúnmente explotaron en los ataques de ransomware en 2022.
El análisis de Ivanti mostró que los operadores de ransomware explotaron un total de 344 vulnerabilidades únicas en ataques el año pasado, un aumento de 56 en comparación con 2021. De esto, un sorprendente 76 % de las fallas fueron de 2019 o antes. Las vulnerabilidades más antiguas del conjunto eran, de hecho, tres errores de ejecución remota de código (RCE) de 2012 en los productos de Oracle: CVE-2012-1710 en el middleware Oracle Fusion y CVE-2012-1723 y CVE-2012-4681 en el entorno de tiempo de ejecución de Java.
Srinivas Mukkamala, director de productos de Ivanti, dice que si bien los datos muestran que los operadores de ransomware armaron nuevas vulnerabilidades más rápido que nunca el año pasado, muchos continuaron confiando en vulnerabilidades antiguas que siguen sin parchear en los sistemas empresariales.
“Las fallas más antiguas que se explotan son un subproducto de la complejidad y la naturaleza lenta de los parches”, dice Mukkamala. “Esta es la razón por la que las organizaciones deben adoptar un enfoque de gestión de vulnerabilidades basado en el riesgo para priorizar los parches para que puedan remediar las vulnerabilidades que representan el mayor riesgo para su organización”.
Las mayores amenazas
Entre las vulnerabilidades que Ivanti identificó como las que presentaban el mayor peligro se encontraban 57 que la empresa describió como ofreciendo a los actores de amenazas capacidades para ejecutar toda su misión. Estas eran vulnerabilidades que permiten a un atacante obtener acceso inicial, lograr persistencia, escalar privilegios, evadir defensas, acceder a credenciales, descubrir activos que podrían estar buscando, moverse lateralmente, recopilar datos y ejecutar la misión final.
Los tres errores de Oracle de 2012 se encontraban entre las 25 vulnerabilidades en esta categoría que eran de 2019 o anteriores. Hazañas contra tres de ellos (CVE-2017-18362, CVE-2017-6884, y CVE-2020-36195) en productos de ConnectWise, Zyxel y QNAP, respectivamente, actualmente no están siendo detectados por los escáneres, dijo Ivanti.
Una pluralidad (11) de las vulnerabilidades en la lista que ofreció una cadena completa de explotación provino de una validación de entrada incorrecta. Otras causas comunes de vulnerabilidades incluyeron problemas de cruce de rutas, inyección de comandos del sistema operativo, errores de escritura fuera de los límites e inyección de SQL.
Los defectos ampliamente prevalentes son los más populares
Los actores de ransomware también tendían a preferir fallas que existen en múltiples productos. Uno de los más populares entre ellos fue CVE-2018-3639, un tipo de vulnerabilidad de canal lateral especulativo que Intel reveló en 2018. La vulnerabilidad existe en 345 productos de 26 proveedores, dice Mukkamala. Otros ejemplos incluyen CVE-2021-4428, la infame falla de Log4Shell, que al menos seis grupos de ransomware están explotando actualmente. La falla se encuentra entre las que Ivanti encontró tendencia entre los actores de amenazas en diciembre de 2022. Existe en al menos 176 productos de 21 proveedores, incluidos Oracle, Red Hat, Apache, Novell y Amazon.
Otras dos vulnerabilidades preferidas por los operadores de ransomware debido a su prevalencia generalizada son CVE-2018-5391 en el kernel de Linux y CVE-2020-1472, una falla crítica de elevación de privilegios en Microsoft Netlogon. Al menos nueve pandillas de ransomware, incluidas las que están detrás de Babuk, CryptoMix, Conti, DarkSide y Ryuk, han utilizado la falla, y también sigue siendo una tendencia en popularidad entre otros, dijo Ivanti.
En total, la seguridad encontró que unas 118 vulnerabilidades que se usaron en ataques de ransomware el año pasado eran fallas que existían en múltiples productos.
“Los actores de amenazas están muy interesados en las fallas que están presentes en la mayoría de los productos”, dice Mukkamala.
Ninguno en la Lista CISA
En particular, 131 de las 344 fallas que los atacantes de ransomware explotaron el año pasado no están incluidas en la base de datos de Vulnerabilidades Conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. La base de datos enumera las fallas de software que los actores de amenazas están explotando activamente y que CISA evalúa como especialmente riesgosas. CISA requiere que las agencias federales aborden las vulnerabilidades enumeradas en la base de datos de manera prioritaria y, por lo general, dentro de aproximadamente dos semanas.
“Es significativo que estos no estén en el KEV de CISA porque muchas organizaciones usan el KEV para priorizar los parches”, dice Mukkamala. Eso demuestra que, si bien KEV es un recurso sólido, no proporciona una vista completa de todas las vulnerabilidades que se utilizan en los ataques de ransomware, dice.
Ivanti descubrió que 57 vulnerabilidades utilizadas en ataques de ransomware el año pasado por grupos como LockBit, Conti y BlackCat tenían puntajes de gravedad baja y media en la base de datos de vulnerabilidad nacional. El peligro: esto podría calmar a las organizaciones que usan el puntaje para priorizar la aplicación de parches en una falsa sensación de seguridad, dijo el proveedor de seguridad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain
