В Threat Landscape Retrospective за период 2021 года было рассмотрено ТОП-5 самых опасных уязвимостей, а также другие с высокой степенью воздействия, которые едва не попали в ТОП-список.
Задача выбора пяти самых критических уязвимостей за 2021 год была реализована командой Security Response Team при составлении ретроспективы ландшафта угроз (TLR). В этой статье приоткрыта завеса над процессом выполнения этой задачи — раскрыта методология отбора и селекции.
Цель материала – дополнить отчет TLR, миссия которого — помочь специалистам в области кибербезопасности постоянным анализом ландшафта угроз, включая рекомендации правительственных регуляторов, производителей ПО, исследователей уязвимостей и инцидентов.
Как были выбраны Топ-5 уязвимостей 2021
Когда была составлена пятерка главных уязвимостей TLR 2020 года, было проще выбрать отдельные CVE в дальнейшем.
Большинство из пяти основных CVE 2020 года продолжают преследовать организации и в 2021 году.
Одна из них — CVE-2020-1472, она же Zerologon — даже перешла в пятерку 2021 года.
С другой стороны, 2021 год был больше связан с кластерами уязвимостей, которые иллюстрировали «ландшафт» кибербезопасности.
Поэтому мы выбрали «репрезентативные» CVE — выбрав одну уязвимость из кластера, которая эффективно олицетворяет класс дефектов или конкретный продукт, который был объектом пристального внимания в течение года.
Например, полный TLR отчет охватывает восемь уязвимостей в Microsoft Exchange Server, но CVE-2021-26855, она же ProxyLogon, была первой, получившей широкое распространение, которое продолжается до сих пор.
Это подводит к одному из ключевых критериев принятия решения для выбора первой пятерки: долгосрочное воздействие.
Можно заметить, что CVE-2021-44228, она же Log4Shell, не фигурирует в списке. Это связано с тем, что долгосрочные последствия уязвимостей в Log4j 2.0 еще не известны.
Возможно, мы увидим долгосрочное использование этих дефектов, но на момент публикации TLR на 2021 год они были еще слишком новыми, чтобы иметь такой уровень влияния.
В ходе нашего анализа мы снова и снова убеждаемся, что наибольший риск для организаций представляют уязвимости «с длинным хвостом».
Как правило, уязвимости нулевого дня становятся более проблематичными для большинства организаций после того, как они переходят в разряд устаревших.
Ключевые критерии для выбора ТОР-5 уязвимостей связанные с:
1. Отдельным продуктом, который стал объектом пристального внимания субъектов угроз.
2. Продукт широко эксплуатируется.
3. Представляет высокую ценность как вектор атаки.
4. Затрагивает повсеместно смежные распространенные продукты, отдельные протоколы.
Теперь давайте рассмотрим, как уязвимости, которые не вошли в топ-5, соответствуют этим критериям.
*Обращаем внимание, что в этом контексте оценка критичности уязвимостей VPR компании Tenable рассчитывается каждую ночь. Эта запись была опубликована состоянием на 13 марта 2022 года и отражает VPR на тот момент.
Уязвимость нулевого дня: CVE-2021-20016: SonicWall SMA
В январе 2021 года компания SonicWall раскрыла информацию о том, что ее внутренние системы были взломаны злоумышленниками, а в феврале последовало сообщение о CVE-2021- 20016, уязвимости нулевого дня в ее Secure Mobile Access (SMA) SSL VPN.
Обнаруженная NCC Group уязвимость CVE-2021-20016 представляет собой уязвимость, связанную с внедрением кода SQL, который позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, получить доступ к учетным данным для входа и сведениям о сеансе.
Атаки, использующие CVE-2021-20016, были связаны с вымогательским ПО FiveHands от компании Mandiant, хотя NCC Group также наблюдала «признаки неизбирательной» эксплуатации вскоре после первоначального объявления SonicWall, до появления исправлений.
NCC Group не стала раскрывать значительные подробности или доказательства концепции (PoC) для CVE-2021-20016, поскольку не хотела способствовать будущим атакам.
Почему данная уязвимость не попала в рейтинг ТОП-5?
Хотя CVE-2021-20016 соответствует многим критериям, использованным для отбора первой пятерки, она не попала в нее, поскольку не оказала такого же эффекта, как те, что попали в список. Возможно, из-за того, что не было опубликовано ни одного PoC, не было замечено широкомасштабной эксплуатации в масштабах таких уязвимостей, как ProxyLogon, PrintNightmare или даже других уязвимостей в SSL VPN.
В связи с этим, было решено, что недостаток в Pulse Connect Secure гораздо лучше иллюстрирует риски для продуктов VPN.
Поскольку CVE-2021-22893 уже была в первой пятерке, мы посчитали, что оставшиеся места лучше использовать для других иллюстративных уязвимостей, чтобы дать полное представление о ландшафте угроз.
Уязвимость нулевого дня: CVE-2021-40444: Microsoft MSHTML
CVE-2021-40444 — это уязвимость удаленного выполнения кода в платформе MSHTML (Trident) от Microsoft. Microsoft объявил об этой уязвимости 7 сентября 2021 года в ответ на активную эксплуатацию, но не выпускал исправлений до специального «дня патчей», который состоялся неделей позже.
К тому времени на GitHub было опубликовано около двух десятков репозиториев PoC. Для эксплуатации этой уязвимости злоумышленник может использовать социальную инженерию, например, фишинг, чтобы убедить целевые объекты открыть вредоносный документ Microsoft Office.
CVE-2021-40444 эксплуатировалась в качестве уязвимости нулевого дня в ограниченных целевых атаках и продолжает эксплуатироваться, в частности, в кибершпионских атаках.
После того, как было опубликовано полное сообщение, Microsoft подтвердил, что «множество субъектов угроз, включая аффилированные компании, занимающиеся вымогательством как услугой», приняли CVE-2021-40444 на вооружение.
Хотя RiskIQ обнаружил, что первоначальные атаки, использующие CVE-2021-40444, имеют общую инфраструктуру с семейством вымогательских программ Ryuk, исследователи отметили, что это совпадение не является убедительным.
Почему данная уязвимость не попала в рейтинг ТОП-5?
Несмотря на то, что атаки, эксплуатирующие CVE-2021-40444, были приняты на вооружение группами вымогателей выкупа, они были целевыми и использовали специально разработанные фишинговые приманки, требующие взаимодействия с пользователем. Такая специфика ограничивает сферу применения этой уязвимости, и, хотя ожидалось увидеть ее использование в продолжающихся фишинговых атаках, она не соответствует тому уровню обеспокоенности, который испытывался в отношении уязвимостей Microsoft Exchange.
Уязвимости Kaseya VSA: CVE-2021-30116, CVE-2021-30119, CVE-2021-30120
Существует печальный прецедент, когда инциденты кибербезопасности портили праздничные выходные. О самых значительных из них объявила компания Kaseya Limited 5 июля 2021 года, а именно, что три уязвимости нулевого дня в ее программном обеспечении для удаленного мониторинга и управления Virtual System Administrator (VSA) были использованы в широкомасштабной атаке вымогательского ПО, которую позже связали с группой REvil ransomware.
Раскрытие и расследование этого инцидента было ураганом, быстро развивающимся во время праздничных выходных четвертого июля в США. Впервые об атаке было сообщено 2 июля, а исправления были выпущены 11 июля. После июльского инцидента в продуктах Kaseya было раскрыто еще больше уязвимостей, но ни одна из них не была использована, а одна — (CVE-2021-40386) остается неисправленной на момент этой публикации.
Почему они не попали в рейтинг ТОП-5?
Эти уязвимости нулевого дня относятся к подкатегории, которые вызвали большой резонанс, но у них не было «длинных хвостов», которые наблюдались у других уязвимостей в первой пятерке.
По словам Kaseya, — «только очень небольшой процент наших клиентов пострадал — в настоящее время их число оценивается менее чем в 40 по всему миру». Интересно, что только CVE-2021-30116 была добавлена в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и инфраструктурной безопасности.
Хотя это не обязательно означает, что не было известно об эксплуатации других уязвимостей, это дает дополнительный контекст для оценки их в сравнении с остальными из первой пятерки.
Уязвимость PetitPotam (CVE-2021-36942)
PetitPotam является несколько уникальной в этом списке. Она связана с атакой ретрансляции менеджера локальной сети новой технологии (NTLM), и не так пристально оценивается, как отдельная уязвимость.
PetitPotam, впервые раскрытая Жилем Лионелем, может заставить контроллеры домена пройти аутентификацию в контролируемом злоумышленником «пункте назначения». Вскоре после раскрытия информации ее PoC была взята на вооружение группами разработчиков вымогательского ПО, такими как LockFile.
Сначала Microsoft обозначил эту проблему как «не может быть исправлена» и продолжает полагаться в основном на свое общее руководство по смягчению последствий для защиты от NTLM Relay Attacks.
С этой атакой связана уязвимость CVE-2021-36942, которая представляет собой уязвимость Windows LSA Spoofing Vulnerability, получившая оценку CVSSv3 7,8 и исправленная в августовском выпуске Patch Tuesday. Однако, согласно более поздним сообщениям, этот патч был неполным. Важно отметить, что в данном случае сама уязвимость не отражает истинных рисков этого вектора атаки.
Почему она не попала в рейтинг
PetitPotam использовалась субъектами угроз так же, как и Zerologon, но с меньшей поверхностью атаки и более ограниченным применением. CVE, связанная с PetitPotam, имеет самый низкий балл CVSSv3 в списке, но это не было фактором в нашем решении. Возможно, более примечательно то, что уязвимость с оценкой 5,3 вообще попала в десятку лучших.
Уязвимости Accellion File Transfer Appliance: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
В конце 2020 года и в начале 2021 года большое количество организаций — было отслежено более 40 — подверглись взлому с использованием четырех уязвимостей нулевого дня в устройстве File Transfer Appliance (FTA) компании Accellion.
Почти сразу после объявления об этих атаках некоторые из них были отнесены к группе Clop/CL0P ransomware. Раскрытие информации о нарушениях, связанных с Accellion FTA, продолжалось в течение всего начала 2021 года, что сделало эти уязвимости нулевого дня одними из самых используемых уязвимостей в первой половине года.
Почему они не попали в рейтинг
Хотя эти уязвимости оказали значительное влияние на организации (взломанные с их помощью), эффект был относительно кратковременным. Атаки, использующие Accellion, достигли пика в январе 2021 года, и эти уязвимости, похоже, не имеют «длинного хвоста», характерного для уязвимостей из первой пятерки.
Общие признаки для выбывших из ТОП-5 списка уязвимостей
Одна из особенностей заключается в том, что они представляют собой не отдельные CVE, а скорее группы или цепочки уязвимостей.
Хотя это не было определяющим фактором при выборе первой пятерки, это показывает важный компонент критериев принятия решения.
Были найдены уязвимости, которые не только представляли значительные, долгосрочные риски для организаций, но и были уникальными примерами и иллюстрациями. Можно было бы составить первую пятерку только из недостатков в Microsoft Exchange Server и Print Spooler, но вместо этого было решено выделить разнообразный набор продуктов, которые могут быть развернуты во многих организациях.
Также интересно, что все уязвимости, которые не попали в список, были уязвимостями нулевого дня, в то время как только две из финальной пятерки были таковыми.
В 2021 году наблюдалось большее количество угроз и атак: 83% с использованием уязвимостей нулевого дня, которые были отслеженны в рамках TLR 2021.
Эти уязвимости были в открытом доступе.
Хотя последствия этих уязвимостей остро ощущались теми организациями, которые были взломаны с их помощью, широкомасштабное воздействие отсутствовало.
У злоумышленников есть множество уязвимостей, из которых они могут выбирать. Те, которые попали в пятерку лучших, представляют особое внимание для них внимание.
Организациям, затронутым любой из рассмотренных здесь уязвимостей, рекомендуется в ближайшее время разработать план по их выявлению и устранению.
Идентификация уязвимых систем
Компания Tenable выпустила шаблоны сканирования для Tenable.io, Tenable.sc и Nessus Professional, которые предварительно настроены для быстрого сканирования на уязвимости, обсуждаемые в этом отчете.
Клиенты Tenable.io получили новую консоль и библиотеку виджетов, а пользователи Tenable.sc — новую панель инструментов, охватывающую Ретроспективу ландшафта угроз 2021 года.
Источник: https://bit.ly/3F9ckqV
