Органы кибербезопасности разведывательного альянса Five Eyes (FVEY) опубликовали список из 12 наиболее эксплуатируемых уязвимостей за 2022 год, подчеркнув, что хакеры предпочитают старые, не исправленные уязвимости в системе безопасности.
По данным объединенного консультативного комитета, только пять из 12 перечисленных обычно используемых уязвимостей безопасности были обнаружены в 2022 году, причем одна относится к 2018 году.
“В 2022 году злоумышленники-киберпреступники чаще использовали уязвимости старого программного обеспечения, чем недавно обнаруженные уязвимости, и нацеливались на не исправленные системы, работающие в Интернете”, – говорится в отчете.
В отчет также были включены 30 наиболее часто используемых программных недостатков в 2022 году.
Агентство кибербезопасности и инфраструктуры США (CISA) в соавторстве с ФБР, АНБ и партнерскими агентствами кибербезопасности из Альянса Five Eyes; NCSC-UK Соединенного Королевства, CCCS Канады, австралийского ACSC и новозеландского NCSC-NZ и CERT-NZ.
Топ-12 наиболее эксплуатируемых уязвимостей в 2022 году
Доминировали Microsoft (4), VMware (2) и Atlassian (2), в то время как Fortinet, Zoho, F5 Networks и Apache также попали в список 12 наиболее эксплуатируемых уязвимостей в 2022 году.
Уязвимость CVE-2018-13379 Fortinet FortiOS и FortiProxy SSL VPN, критическая к раскрытию учетных данных (CVSS 9.1), была самой долго эксплуатируемой в списке с 2018 года. Спонсируемый российским государством злоумышленник APT29 воспользовался уязвимостью в системе безопасности, чтобы вмешаться в выборы в США.
Аналогичным образом, с 2021 года часто использовались уязвимости прокси-оболочки Microsoft Exchange Server RCE CVE-2021-34473, обхода функций безопасности CVE-2021-31207 и повышения привилегий CVE-2021-34523.
“Что наиболее интересно с точки зрения кибербезопасности, так это то, что семь из двенадцати этих уязвимостей были обнаружены в период с 2018 по 2021 год”, – сказала Роза Смозерс, бывший аналитик ЦРУ по киберугрозам и нынешний исполнительный директор KnowBe4. “Одним из основных принципов кибербезопасности является грамотное управление исправлениями недостатков безопасности, влияющих на программное обеспечение и оборудование. Организации, которые остаются уязвимыми, явно безразличны к ландшафту угроз”.
Другие недостатки безопасности, обнаруженные в 2022 году и регулярно эксплуатируемые в том же году, включают:
- Недостатки VMware Workspace ONE Access and Identity Manager удаленного выполнения кода (RCE) CVE-2022-22954 и неправильного управления привилегиями CVE-2022-22960, которые также были предметом рекомендации CISA по безопасности 2022 года.
- Уязвимость аутентификации с отсутствием большого IP в сетях F5 Networks CVE-2022-1388.
- Уязвимость Microsoft RCE CVE-2022-30190, затрагивающая множество продуктов и используемая различными APT-сервисами национальных государств.
- Ошибка сервера Confluence и RCE-центра обработки данных Atlassian CVE-2022-26134.
В 2022 году CISA опубликовала аналогичный список из 15 наиболее часто используемых уязвимостей в 2021 году. Половина регулярно используемых уязвимостей в 2022 году были в этом списке.
“Этот список целей уже является частью арсенала, используемого киберпреступниками для получения доступа к сетям организаций”, – сказал Джеймс Маккуигган, специалист по повышению осведомленности о безопасности в KnowBe4. “Это все равно что позвонить в дверь, чтобы узнать, есть ли кто-нибудь дома, и повернуть ручку двери. Если она не заперта, они заходят внутрь без каких-либо проблем”.
Еще тридцать регулярно используемых уязвимостей
Две трети дополнительных регулярно используемых уязвимостей были обнаружены в период с 2017 по 2021 год, что указывает на то, что организации своевременно не исправляли обнаруженные недостатки безопасности.
Неудивительно, что Microsoft заняла первое место с двумя самыми старыми регулярно используемыми уязвимостями: CVE-2017-0199 (несколько продуктов) и CVE-2017-11882 ошибок выполнения произвольного кода Exchange Server, эксплуатируемых с 2017 года.
Агентства отметили, что злоумышленники нацелены на исправленные старые недостатки безопасности, поскольку их код proof of concept (POC) находится в открытом доступе, что облегчает использование более широких уязвимостей программного обеспечения или цепочек уязвимостей.
“В то время как опытные участники также разрабатывают инструменты для использования других уязвимостей, разработка эксплойтов для критических, широко распространенных и общеизвестных уязвимостей дает участникам недорогие, высокоэффективные инструменты, которыми они могут пользоваться в течение нескольких лет”, – отмечается в рекомендациях.
Впоследствии злоумышленники более успешно использовали недостатки программного обеспечения в течение двух лет после обнаружения, прежде чем их ценность снизилась по мере того, как все больше организаций применяли исправления.
Таким образом, своевременное исправление обнаруженных недостатков безопасности снижает их эффективность, вынуждая участников угрозы использовать более дорогие и трудоемкие методы, такие как эксплойты нулевого дня и атаки по цепочке поставок.
Агентства посоветовали поставщикам программного обеспечения и разработчикам принять “безопасные методы проектирования” и внедрить “безопасные конфигурации по умолчанию”, чтобы уменьшить количество уязвимостей, которые можно использовать.
Аналогичным образом, организации-конечные пользователи должны своевременно применять меры по смягчению последствий и улучшать свою систему кибербезопасности, чтобы замедлить действия злоумышленников.