Vulnerabilidades de software não corrigidas continuam sendo alvos atraentes para cibercriminosos muito depois de serem descobertas. Os problemas de legado não desaparecerão por conta própria. Uma análise da Barracuda mostra como isso pode ser perigoso.
Pode ser uma falácia fatal acreditar que as vulnerabilidades de software identificadas não são mais perigosas. Quem agora é negligente e pensa em esperar fechar o gateway, que é urgente, porque há coisas muito mais importantes para fazer dentro da própria infraestrutura de TI no momento, está muito enganado. Porque é justamente nessa negligência que muitos hackers confiam e verificam novamente onde o patch não apareceu.
Os hackers procuram vulnerabilidades novas e antigas
Os hackers não se retiram apenas das redes de TI para procurar vulnerabilidades novas e desconhecidas em outro lugar. Mesmo anos após as vulnerabilidades terem sido descobertas, o número de sistemas que ainda estão abertos é alarmante. Os especialistas em segurança da Barracuda analisaram recentemente dados sobre ataques bloqueados pelos sistemas da Barracuda nos últimos dois meses. Eles encontraram centenas de milhares de varreduras e ataques automatizados, bem como milhares de varreduras – todos os dias – para as vulnerabilidades da Microsoft e VMware corrigidas recentemente. A seguir, os padrões de ataque são examinados com mais detalhes e são identificadas as medidas com as quais as empresas podem proteger sua infraestrutura.
Vulnerabilidades de software não corrigidas
A vulnerabilidade da Microsoft Hafnium foi divulgada pela primeira vez em março de 2021. As vulnerabilidades exploradas foram CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que um invasor envie solicitações HTTP arbitrárias e autentique-se como um servidor Exchange. CVE-2021-26855 é preferencialmente usado para identificar sistemas vulneráveis. As vulnerabilidades restantes parecem estar acorrentadas a esta vulnerabilidade para executar outras explorações, incluindo os chamados webshells. Um webshell é uma interface maliciosa baseada na web que permite acesso remoto e controle de um servidor web executando comandos arbitrários.
Desde o início de março, os analistas de segurança notaram um aumento inicialmente moderado e depois significativo nas tentativas de sondagem para CVE-2021-26855, que continuou até hoje com as tentativas de sondagem aumentando temporariamente e depois caindo para um nível mais baixo.
Vulnerabilidades no VMware vCenter Server
Uma segunda vulnerabilidade drástica com o identificador CVE-2021-21972 afetou mais de 6700 servidores VMware vCenter acessíveis pela Internet no início deste ano. Os criminosos podem assumir o controle de um servidor não corrigido e penetrar em toda a rede de uma empresa. Os analistas da Barracuda continuaram a verificar regularmente o CVE-2021-21972. Embora tenha havido um declínio nas sondagens, não precisa permanecer assim. É de se esperar que essas verificações aumentem novamente de tempos em tempos, à medida que os invasores examinam a lista de vulnerabilidades conhecidas de alto impacto.
Esses dois eventos demonstram que os invasores continuarão a investigar e explorar as vulnerabilidades de software, especialmente as mais graves, bem depois do lançamento de patches e mitigações. Os hackers especulam com os recursos de tempo frequentemente escassos das equipes de TI, dificultando o acompanhamento constante dos patches.
Os hackers também parecem estar entrando no fim de semana
Como os padrões de ataque se parecem em particular? Enquanto os bots costumavam se adaptar ao decorrer de um dia de trabalho para realizar seus ataques, agora a semana de trabalho é a mesma para invasores e possíveis vítimas. Isso mostra a estranheza de que a maioria dos invasores parece tirar folga no fim de semana, mesmo quando executa ataques automatizados. A razão para isso, no entanto, é provavelmente menos uma necessidade crescente de recreação e mais o fato de que é mais fácil se esconder na multidão durante várias atividades do que soar o alarme visando sistemas subutilizados no fim de semana.
Injeção de comando de SQL e ataques de injeção de comando
Como os ataques se enquadram nos tipos de ataque comuns de reconhecimento/fuzzing e ataques de vulnerabilidade de aplicativos (WordPress foi o mais popular)? Normalmente, os ataques de injeção de SQL predominam sobre os ataques de injeção de comando, seguidos por todos os outros tipos de ataque. No entanto, durante o período de investigação, a injeção de comandos liderou de longe - incluindo inúmeras tentativas de injetar comandos contra o Windows. Esses ataques atingiram o pico por mais de duas semanas em junho e depois voltaram aos níveis normais. Os restantes ataques estiveram mais ou menos ao nível esperado, não tendo sido identificados padrões de ataque específicos nas várias categorias. Também é essencial habilitar o HTTPS com a integração do Lets Encrypt e garantir que a configuração seja atualizada para usar os protocolos mais recentes. Os protocolos mais seguros atualmente são TLS1.3 e TLS1.2. As implementações usando HTTP simples ainda estão em andamento, mas, curiosamente, o tráfego HTTP simples tem um volume maior do que os protocolos SSL/TLS mais antigos e inseguros.
WAF ou WAAP: definitivamente configurado corretamente
Ataques que visam explorar vulnerabilidades de software conhecidas geralmente representam um desafio para as equipes de TI na busca pelas soluções necessárias devido ao grande número delas. É bom saber que essas soluções estão sendo consolidadas em produtos WAF/WAF-as-a-Service, também conhecidos como Web Application and API Protection Services (WAAP). O Gartner define os serviços WAAP como a “evolução dos serviços WAF na nuvem”.
As empresas devem definitivamente considerar uma solução WAF-as-a-Service ou WAAP que inclua mitigação de bot, proteção DDoS, segurança de API e proteção de preenchimento de credenciais - e, em seguida, verifique se está configurado corretamente.
Mais em Barracuda.com
Sobre a Barracuda Networks A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.