Lista das 10 vulnerabilidades mais exploradas divulgada pelo FBI, DHS CISA

Read Time9 Minute, 4 Second

Quando o Home Office se tornou uma necessidade repentina e urgente em março, muitas organizações reuniram serviços de colaboração em nuvem, como o Microsoft Office 365, para sua equipe recém-bloqueada.

Infelizmente e compreensivelmente, a pressão era alta. As pessoas estavam se esforçando. Assim, vários desses serviços foram colocados juntos com uma asa, uma oração e configurações erradas que os configuraram como alvo de atores de ameaças maliciosas.

De acordo com um novo relatório que abrange as 10 principais vulnerabilidades exploradas rotineiramente dos braços de cibersegurança dos EUA – o Departamento de Segurança Interna de Segurança Cibernética e Segurança de Infraestrutura (DHS CISA) e o FBI – a mudança abrupta para o trabalho de casa que veio em março levou a uma implantação rápida e às vezes precipitada de serviços de colaboração em nuvem. Os descuidos resultantes nas configurações de segurança deixaram algumas organizações vulneráveis a ataques. Essa é apenas uma das vulnerabilidades que as agências estão vendo sendo exploradas este ano pelo que dizem ser sofisticados atores cibernéticos estrangeiros.

Outra tendência para 2020 são os atores cibernéticos maliciosos que estão cada vez mais visando vulnerabilidades de VPN (Virtual Private Network, rede virtual privada virtual) não corrigidas. Estes são dois dos ataques específicos de vulnerabilidade VPN que eles detectaram:

  • Uma vulnerabilidade arbitrária de execução de código em dispositivos Citrix VPN, conhecida como CVE-2019-19781, que foi detectada em explorações na natureza. Citrix enviou patches como servidores vulneráveis foram atacados em janeiro. Como observamos na época, Citrix foi vago sobre o que a falha permitiria que os atacantes fizessem, mas com base na análise das atenuações propostas pela Citrix, a especulação era de que a questão permite a travessia do diretório: em outras palavras, oferecer aos atacantes uma maneira de acessar diretórios restritos sem ter que autenticar.
  • Uma vulnerabilidade arbitrária de leitura de arquivos nos servidores Pulse Secure VPN, conhecido como CVE-2019-11510, que ainda está atraindo atores mal-intencionados. O que é digno de soluço é que, apesar dos patches estarem disponíveis desde abril de 2019, a partir de janeiro de 2020, os invasores ainda estavam usando as falhas para entrar em servidores não corrigidos, invadir redes da empresa e instalar o ransomware REvil (Sodinokibi).

Sistemas não corrigidos lubrificam as rodas para atacantes

Tudo isso para 2020, e ainda nem chegamos à carne do relatório: as 10 vulnerabilidades mais exploradas para os anos de 2016 a 2019. Antes de chegarmos a essa lista, porém, tome cuidado com o que as empresas de cibersegurança dos EUA estão nos dizendo: ou seja, que é vital que profissionais de segurança de TI em organizações do setor público e privado coloquem “uma prioridade maior em corrigir as vulnerabilidades mais comumente conhecidas exploradas por atores cibernéticos estrangeiros sofisticados”.

A justificativa por trás do relatório é fornecer detalhes sobre vulnerabilidades que são rotineiramente exploradas por atores cibernéticos estrangeiros – principalmente Vulnerabilidades e Exposições Comuns (CVEs) – para que as organizações reduzam o risco dessas ameaças estrangeiras, de acordo com os EUA.

Deixar sistemas sem correção está facilitando como torta para aqueles atores de ameaças estrangeiras. Do relatório:

Os atores cibernéticos estrangeiros continuam a explorar vulnerabilidades de software conhecidas publicamente – e muitas vezes datadas – contra amplos conjuntos de alvos, incluindo organizações do setor público e privado. A exploração dessas vulnerabilidades muitas vezes requer menos recursos em comparação com explorações de dia zero para as quais não há patches disponíveis.

Em outras palavras, há maneiras de forçar os atacantes a trabalhar muito mais: ou seja, remendando em tempo hábil, assim que possível quando os patches saem:

Os setores público e privado poderiam degradar algumas ameaças cibernéticas estrangeiras aos interesses dos EUA através de um esforço crescente para corrigir seus sistemas e implementar programas para manter o sistema atualizado. Uma campanha concertada para corrigir essas vulnerabilidades introduziria atrito no tradecraft operacional dos adversários estrangeiros e os forçaria a desenvolver ou adquirir explorações mais caras e menos amplamente eficazes. Uma campanha de correção concertada também reforçaria a segurança da rede, concentrando escassos recursos defensivos nas atividades observadas de adversários estrangeiros.

Top 10 explorações

A lista abaixo, em nenhuma ordem particular, é onde focar uma campanha de patches concertada: no Top 10 Vulnerabilidades Mais Exploradas para 2016-2019. Incluem-se seus números CVE, produtos vulneráveis, malware associado e estratégias de mitigação. Eu também incluí uma amostra de apenas alguns dos coberturas da Naked Security de cada vulnerabilidade.

As listas de malware associados correspondentes a cada CVE não são exaustivas. Em vez disso, pretende-se identificar uma família de malware comumente associada à exploração da CVE. Você também pode acessar a lista como um PDF . Além disso, os EUA deram mitigações para vulnerabilidades exploradas em 2020.

CVE-2017-11882

CVE-2017-0199

CVE-2017-5638

CVE-2012-0158

CVE-2019-0604

CVE-2017-0143

  • Produtos Vulneráveis: Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold e R2; Windows RT 8.1; e Windows 10 Gold, 1511 e 1607; e Windows Server 2016
  • Malware associado: Múltiplo usando o EternalSynergy e eternalblue exploit kit
  • Mitigação: Atualização afetou produtos da Microsoft com os patches de segurança mais recentes
  • Mais detalhes: https://nvd.nist.gov/vuln/detail/CVE-2017-0143
  • Nossa cobertura.

CVE-2018-4878

CVE-2017-8759

CVE-2015-1641

CVE-2018-7600

Mitigações para vulnerabilidades exploradas em 2020

CVE-2019-11510

CVE-2019-19781

Descuidos nas configurações de segurança do Microsoft O365

Fraquezas de cibersegurança organizacional

O relatório também inclui recursos que podem ajudar as organizações a afastar os invasores, incluindo vários serviços gratuitos de triagem e teste da CISA, recursos on-line e muito mais.

FONTE: SOPHOS

0 0

Deixe uma resposta