Невиправлені вразливості програмного забезпечення залишаються привабливими цілями для кіберзлочинців ще довго після їх виявлення. Проблеми зі спадщиною не зникнуть самі по собі. Аналіз Barracuda показує, наскільки це може бути небезпечно.
Вважати, що виявлені вразливості програмного забезпечення більше не небезпечні, може бути фатальною помилкою. Будь-хто, хто зараз недбалий і думає почекати, щоб закрити шлюз, який терміново потрібен, оскільки зараз є набагато важливіші справи у власній ІТ-інфраструктурі, сильно помиляється. Тому що саме на цю недбалість покладаються багато хакерів і знову перевіряють, де не з’явився патч.
Хакери шукають нові та старі вразливості
Хакери не просто виходять з ІТ-мереж, щоб шукати нові, невідомі вразливості десь ще. Навіть через роки після виявлення вразливостей кількість систем, які все ще залишаються відкритими, викликає тривогу. Нещодавно експерти з безпеки Barracuda проаналізували дані про атаки, заблоковані системами Barracuda за останні два місяці. Вони виявили сотні тисяч автоматизованих сканувань і атак, а також тисячі сканувань – щодня – на наявність нещодавно виправлених уразливостей Microsoft і VMware. Далі моделі атак розглядаються більш детально та визначаються заходи, за допомогою яких компанії можуть захистити свою інфраструктуру.
Невиправлені вразливості програмного забезпечення
Вразливість Microsoft Hafnium вперше була розкрита в березні 2021 року. Уразливості, які були використані, були CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 і CVE-2021-27065. CVE-2021-26855 — це уразливість серверної підробки запитів (SSRF) в Exchange, яка дозволяє зловмиснику надсилати довільні HTTP-запити та автентифікуватися як сервер Exchange. CVE-2021-26855 бажано використовувати для виявлення вразливих систем. Схоже, що решта вразливостей пов’язані з цією вразливістю для запуску інших експлойтів, включаючи так звані веб-оболонки. Веб-оболонка — це шкідливий веб-інтерфейс, який забезпечує віддалений доступ і контроль веб-сервера шляхом виконання довільних команд.
З початку березня аналітики безпеки помітили спочатку помірне, а згодом значне збільшення спроб зондування CVE-2021-26855, яке продовжується до цього дня: спроби зондування тимчасово збільшуються, а потім знижуються до нижчого рівня.
Уразливості в VMware vCenter Server
Друга різка вразливість з ідентифікатором CVE-2021-21972 вразила понад 6700 серверів VMware vCenter, які були доступні через Інтернет на початку цього року. Зловмисники можуть взяти під контроль невиправлений сервер і проникнути в усю мережу компанії. Аналітики Barracuda продовжують регулярно сканувати CVE-2021-21972. Хоча відбулося зниження зондування, це не повинно залишатися таким. Очікується, що ці сканування час від часу будуть знову збільшуватися, оскільки зловмисники переглядатимуть список відомих вразливостей, які мають серйозний вплив.
Ці дві події демонструють, що зловмисники продовжуватимуть досліджувати та використовувати вразливості програмного забезпечення, особливо серйозні, навіть після випуску виправлень і засобів пом’якшення. Хакери припускають, що ІТ-командам часто не вистачає ресурсів часу, що ускладнює постійне оновлення виправлень.
Хакери також, здається, йдуть на вихідні
Як виглядають шаблони атак зокрема? Якщо раніше боти пристосовувалися до перебігу робочого дня для здійснення своїх атак, тепер робочий тиждень однаковий як для зловмисників, так і для потенційних жертв. Це показує дивність того, що більшість зловмисників, здається, беруть вихідні, навіть якщо запускають автоматизовані атаки. Причиною цього, ймовірно, є не збільшена потреба у відпочинку, а більше той факт, що легше сховатися в натовпі під час різноманітних заходів, ніж бити тривогу, націлюючись на недостатньо використовувані системи у вихідні.
Введення команд із SQL та атаки з впровадженням команд
Як атаки поділяються на загальні типи атак розвідки/фаззингу та атак на вразливість програм (WordPress був найпопулярнішим)? Як правило, атаки з впровадженням SQL переважають над атаками з впровадженням команд, за якими йдуть усі інші типи атак. Однак протягом періоду розслідування ін’єкції команд значно лідирували, включаючи численні спроби ін’єкцій команд проти Windows. Ці атаки досягли піку протягом більше двох тижнів у червні, а потім повернулися до нормального рівня. Решта атак були більш-менш на очікуваному рівні, без конкретних шаблонів атак у різних категоріях. Також важливо ввімкнути HTTPS з інтеграцією Lets Encrypt і переконатися, що конфігурація оновлена для використання найновіших протоколів. Найбезпечнішими наразі є протоколи TLS1.3 і TLS1.2. Впровадження з використанням звичайного HTTP все ще активно розвиваються, але цікаво те, що простий HTTP-трафік має більший обсяг, ніж старі та небезпечні протоколи SSL/TLS.
WAF або WAAP: точно налаштовано правильно
Атаки, спрямовані на використання відомих уразливостей програмного забезпечення, часто викликають труднощі для ІТ-команд під час пошуку необхідних рішень через їх велику кількість. Приємно знати, що ці рішення об’єднуються в продукти WAF/WAF-as-a-Service, також відомі як Web Application and API Protection Services (WAAP). Gartner визначає послуги WAAP як «еволюцію хмарних служб WAF». Якби послуги WAAP були засновані на хмарі, доставка WAF як послуги, пом’якшення ботів, захист від DDoS і безпека API з однією підпискою – Комбінована модель.
Підприємствам обов’язково варто розглянути рішення WAF-as-a-Service або WAAP, яке включає захист від ботів, захист від DDoS-атак, безпеку API і захист від надсилання облікових даних, а потім переконатися, що його правильно налаштовано.
Більше на Barracuda.com
Про Barracuda Networks Barracuda прагне зробити світ безпечнішим і вважає, що кожен бізнес повинен мати доступ до хмарних рішень безпеки для всього підприємства, які легко придбати, розгорнути та використовувати. Barracuda захищає електронну пошту, мережі, дані та програми за допомогою інноваційних рішень, які розвиваються та адаптуються на шляху клієнта. Понад 150.000 XNUMX компаній у всьому світі довіряють Barracuda, щоб вони могли зосередитися на розвитку свого бізнесу. Для отримання додаткової інформації відвідайте www.barracuda.com.