воскресенье, 22 мая 2022 г.

Часто используемые хакерами уязвимости 2021 года

На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/ 
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.

В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.

Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.

CVEВ каком ПО обнаруженаНазвание уязвимостиТип уязвимостиБазовая оценка CVSS
CVE-2021-27101Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27103Accellion FTA
Подделка запроса на стороне сервера9,8
CVE-2021-27104Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27102Accellion FTA
Remote code execution (RCE)
7,8
CVE-2021-26855 Сервер Microsoft ExchangeProxyLogonПодделка запроса на стороне сервера9,8
CVE-2021-26857,

CVE-2021-26858,

CVE-2021-27065
Сервер Microsoft ExchangeProxyLogon
Remote code execution (RCE)
7,8
CVE-2021-44228Библиотека Apache Log4j2
Remote code execution (RCE)
10,0
CVE-2021-28799QNAP NAS
Remote code execution (RCE)
9,8
CVE-2021-34527 Диспетчер печати WindowsPrintNightmare
Remote code execution (RCE)
8,8
CVE-2021-34473 Сервер Microsoft ExchangeProxyShell
Remote code execution (RCE)
9,8
CVE-2021-34523 Сервер Microsoft ExchangeProxyShellПовышение привилегий9,8
CVE-2021-31207 Сервер Microsoft ExchangeProxyShellОбход аутентификации7,2
CVE-2021-40444Модуль MSHTML в Internet Explorer
Remote code execution (RCE)
7,8
CVE-2021-21972 VMware(обнаружена экспертом Positive Technologies Михаилом Ключниковым)
Remote code execution (RCE)
9,8

Для сравнения мировые организации Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях

Самые частые уязвимости используемые хакерами по их версии
CVE
В каком ПО обнаружена
Vulnerability Name
Type
Apache Log4j
Log4Shell
Remote code execution (RCE)
Zoho ManageEngine AD SelfService Plus
 
RCE
Microsoft Exchange Server
ProxyShell
Elevation of privilege
Microsoft Exchange Server
ProxyShell
RCE
Microsoft Exchange Server
ProxyShell
Security feature bypass
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE

 
Atlassian Confluence Server and Data Center
 
Arbitrary code execution
VMware vSphere Client
 
RCE
Microsoft Netlogon Remote Protocol (MS-NRPC)
ZeroLogon
Elevation of privilege
Microsoft Exchange Server
 
RCE
Pulse Secure Pulse Connect Secure
 
Arbitrary file reading
Fortinet FortiOS and FortiProxy
 
Path traversal

И также важно знать про эти уязвимости,
CVE
Vendor and Product
Type
Sitecore XP
RCE
ForgeRock OpenAM server
RCE
Accellion FTA
OS command execution
Accellion FTA
Server-side request forgery
Accellion FTA
OS command execution
Accellion FTA
SQL injection
VMware vCenter Server
RCE
SonicWall Secure Mobile Access (SMA)
RCE
Microsoft MSHTML
RCE
Microsoft Windows Print Spooler
RCE
Sudo
Privilege escalation
Checkbox Survey
Remote arbitrary code execution
Pulse Secure Pulse Connect Secure
Remote arbitrary code execution
SonicWall SSLVPN SMA100
Improper SQL command neutralization, allowing for credential access
Windows Print Spooler
RCE
QNAP QTS and QuTS hero
Remote arbitrary code execution
Citrix Application Delivery Controller (ADC) and Gateway
Arbitrary code execution
Progress Telerik UI for ASP.NET AJAX
Code execution
Cisco IOS Software and IOS XE Software
Remote arbitrary code execution
Microsoft Office
RCE
Microsoft Office
RCE

Что это означает для вас? Нужно проверить эти уязвимости на вашем периметре и установить патчи. Чем быстрее, тем лучше.

Также рекомендую посмотреть отчет какие решения используют компании.

Классы решений, которые действительно способны обнаружить злоумышленника в сети, использует только каждая четвертая компания: Sandbox ― 28% опрошенных, решения класса NTA ― 27%.


on
Ярлыки: