Afbeelding: Shutterstock
Volgens de US Cybersecurity and Infrastructure Security Agency (CISA), het Australian Cyber Security Center (ACSC), het National Cyber Security Center van het Verenigd Koninkrijk, dateert na bijna zeven maanden in 2021 een van de 30 meest misbruikte kwetsbaarheden uit 2017 (NCSC) en de Amerikaanse FBI.
CVE-2017-11882 is de houder van de twijfelachtige eer, en het is te wijten aan een stackbufferoverloop in de vergelijkingseditor van Microsoft Office, wat kan leiden tot het uitvoeren van externe code (RCE). Het is een exploit waar verkopers al jaren mee bezig zijn.
Het kwartet van bureaus zei woensdag dat de gemakkelijkste manier om dit gat te dichten, en de 29 andere die op de lijst staan, het patchen van systemen zou zijn.
“Cyberactoren blijven publiekelijk bekende – en vaak gedateerde – softwarekwetsbaarheden exploiteren tegen brede doelgroepen, waaronder organisaties in de publieke en private sector wereldwijd. Entiteiten over de hele wereld kunnen de kwetsbaarheden echter verminderen … door de beschikbare patches op hun systemen en het implementeren van een gecentraliseerd patchbeheersysteem”, aldus het kwartet.
“Kwaadwillende cyberactoren zullen hoogstwaarschijnlijk oudere bekende kwetsbaarheden blijven gebruiken, zoals CVE-2017-11882 die Microsoft Office aantast, zolang ze effectief blijven en systemen ongepatcht blijven. Het gebruik van bekende kwetsbaarheden door kwaadwillenden compliceert attributie, verlaagt de kosten en minimaliseert het risico omdat ze niet investeren in het ontwikkelen van een zero-day exploit voor exclusief gebruik, dat ze het risico lopen te verliezen als het bekend wordt.”
De top 30-lijst is onderverdeeld in 14 historische CVE's van 2020 en eerder, en 16 van het lopende jaar.
De lijst met historische kwetsbaarheden wordt aangevoerd door vier CVE's met betrekking tot cloud, werken op afstand of VPN's.
“Veel VPN-gateway-apparaten bleven in 2020 ongepatcht, waarbij de groei van opties voor werken op afstand een uitdaging vormde voor het vermogen van organisaties om rigoureus patchbeheer uit te voeren”, aldus de agentschappen.
Naast het patchen, zeiden de agentschappen dat de beste praktijken betrekking hadden op het naleven van de Essential Eight-beperkingsstrategieën van Australië.
Historische kwetsbaarheden
Citrix: CVE-2019-19781
Bovenaan de historische lijst staat de Citrix NetScaler RCE die met Kerstmis in 2019 verscheen. men zou dicht bij huis moeten komen voor Australië omdat het werd gebruikt om toegang te krijgen tot een defensie-wervingsdatabase.
Pulse: CVE-2019-11510
Het behalen van de zilveren medaille is een kwetsbaarheid voor het doorkruisen van directory's in Pulse Secure Connect die kan leiden tot willekeurige openbaarmaking van bestanden en lekken van beheerdersreferenties.
“Eenmaal gecompromitteerd, kan een aanvaller willekeurige scripts uitvoeren op elke host die verbinding maakt met de VPN. Dit kan ertoe leiden dat iedereen die verbinding maakt met de VPN een potentieel doelwit vormt”, aldus de agentschappen.
“De CVE-2019-11510-kwetsbaarheid in Pulse Connect Secure VPN was ook vaak het doelwit van APT's van nationale staten. Actoren kunnen de kwetsbaarheid misbruiken om de niet-versleutelde inloggegevens voor alle gebruikers op een gecompromitteerde Pulse VPN-server te stelen en ongeautoriseerde inloggegevens voor alle gebruikers op een gecompromitteerde Pulse VPN-server en kan onbevoegde toegang behouden nadat het systeem is gepatcht, tenzij alle gecompromitteerde inloggegevens worden gewijzigd.”
Dat klinkt leuk.
Fortinet: CVE-2018-13379
Vers van een mei-waarschuwing is Fortinet's versie van een directorytraversal-bug die ertoe kan leiden dat een aanvaller gebruikersnamen en wachtwoorden bemachtigt.
“Meerdere malwarecampagnes hebben misbruik gemaakt van deze kwetsbaarheid. De meest opvallende is Cring-ransomware (ook bekend als Crypt3, Ghost, Phantom en Vjszy1lo)”, waarschuwden de agentschappen.
F5- Big IP: CVE-2020-5902
Toen het werd aangekondigd, scoorde deze CVE een perfecte 10 — dus het is een groot probleem. Het betrof de gebruikersinterface voor verkeersbeheer waarmee elke oude gebruiker toegang kon krijgen; ze hoefden niet te worden geverifieerd om willekeurige opdrachten uit te voeren, bestanden te maken of te verwijderen, services uit te schakelen of willekeurige Java uit te voeren.
“Deze kwetsbaarheid kan resulteren in een complete systeemaantasting”, zo onderschatten de agentschappen de dreiging.
MobileIron: CVE-2020-15505
Ben je ziek van onbevoegde aanvallers die op afstand code uitvoeren op je MobileIron-kit? Nou, je was gewaarschuwd in november.
Microsoft Exchange: CVE-2020-0688
Welkom bij de lijst Microsoft Exchange — we hadden je al verwacht. Deze kwetsbaarheid van begin 2020 deed zich voor omdat Exchange-servers er niet in slaagden om tijdens de installatie een unieke cryptografische sleutel voor het Exchange-configuratiescherm te creëren, waardoor aanvallers verkeerde verzoeken konden gebruiken om code uit te voeren onder de SYSTEEM-context. Kleine troost kon worden gevonden in de wetenschap dat authenticatie nodig was om deze exploit uit te voeren.
Atlassian Confluence: CVE-2019-3396
Als je flashbacks krijgt van veel kwetsbaarheden op deze lijst, komt dat omdat de NSA afgelopen oktober probeerde mensen te waarschuwen.
Deze oude Atlassian Confluence-kwetsbaarheid mag niet worden weggelaten uit padtraversal en capriolen voor het uitvoeren van externe code van andere leveranciers, en voegt een vleugje server-side template-injectie toe.
De grote vraag is echter of je de patch in Confluence moet loggen als een taak in JIRA? Het draagt er niet aan te denken.
Microsoft Office: CVE-2017-11882
Dit is de oudste bug in de lijst, gerelateerd aan de vergelijkingseditor, die aan het begin van dit stuk wordt genoemd. Scroll naar boven.
Atlassian Crowd: CVE-2019-11580
Aanvallers kunnen dit beveiligingslek gebruiken om willekeurige plug-ins te installeren, wat kan leiden tot uitvoering van externe code. De agentschappen hebben specifiek op deze kwetsbaarheid gewezen.
“Door de schaarse middelen voor cyberdefensie te focussen op het patchen van de kwetsbaarheden die cyberactoren het vaakst gebruiken, kunnen ze de netwerkbeveiliging versterken en de operaties van onze tegenstanders belemmeren”, zeiden ze.
“Bijvoorbeeld, nationale APT's in 2020 vertrouwden uitgebreid op een enkele RCE-kwetsbaarheid die werd ontdekt in de Atlassian Crowd, een gecentraliseerd identiteitsbeheer en -toepassing (CVE-2019-11580) bij de gerapporteerde operaties.
“A gezamenlijke focus op het patchen van deze kwetsbaarheid zou een relatief brede impact kunnen hebben door de actoren te dwingen alternatieven te vinden, die mogelijk niet dezelfde brede toepasbaarheid hebben op hun doelen.”
Drupal: CVE-2018- 7600
Weet je nog Drupalgeddon2? Een gebrek aan sanering van de invoer van de hook-crazed Drupal-codebase kan ertoe leiden dat een niet-geverifieerde aanvaller code op afstand kan uitvoeren.
Uiteraard volgden snel malwarecampagnes, waaronder monero-mining en het gebruik van sites als onderdelen van botnets.
Telerik: CVE-2019-18935
Een gat in de opschoning van geserialiseerde invoer in het Telerik-framework dat wordt gebruikt door ASP.NET-apps kan leiden tot RCE. Nogmaals, cryptojacking was niet ver achter.
Microsoft Sharepoint: CVE-2019-0604
Om bij het recente thema te blijven, had Sharepoint een kwetsbaarheid bij het deserialiseren van XML vanwege een gebrek aan opschoning, wat kan leiden tot uitvoering van externe code.
Microsoft Windows Background Intelligent Transfer Service: CVE-2020-0787
Als gevolg van het onjuist omgaan met symbolische koppelingen, kan een aanvaller dit beveiligingslek gebruiken om willekeurige code uit te voeren met privileges op systeemniveau.
Microsoft Netlogon: CVE-2020-1472
Toen het werd aangekondigd, werd het gemeld als een van de ernstigste bugs ooit, en met een CVSS-score van 10 was het klein wonder.
Ook bekend als Zerologon, stelt de kwetsbaarheid een niet-geverifieerde aanvaller in staat zich voor te doen als een computer op een domein, met de mogelijkheid om beveiligingsfuncties in het Netlogon-authenticatieproces uit te schakelen en domeinbeheerdersrechten te verkrijgen.
“Er werden bedreigingsactoren gezien die de MobileIron CVE-2020-15505-kwetsbaarheid combineerden voor initiële toegang, en vervolgens de Netlogon-kwetsbaarheid gebruikten om zijwaartse verplaatsing en verdere compromittering van doelnetwerken te vergemakkelijken”, aldus de agentschappen.
“Er is waargenomen dat een nationale APT-groep misbruik maakt van dit beveiligingslek.”
De klasse van 2021
Vergeleken met de kwetsbaarheden van jaren daarvoor, is de 2021-groep mooi gegroepeerd en meestal gerelateerd aan een enkel product, dus zonder verder oponthoud.
Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065
Deze kwetsbaarheden zijn die waarvan de NAVO, de Verenigde Staten, de Europese Unie, het Verenigd Koninkrijk, Australië, Canada, Nieuw-Zeeland en Japan onlangs zeiden dat ze werden toegeschreven aan China, en dat dit de exploits waren waarvan de FBI besloot dat ze webshells moesten wegblazen op Amerikaanse servers.
CVE-2021-26855 stond een niet-geverifieerde aanvaller toe, als ze verbinding konden maken met poort 443, om het Exchange-configuratiescherm te misbruiken via een server-side request vervalsing die hen in staat zou stellen willekeurige HTTP-verzoeken te verzenden, te authenticeren als de Exchange Server, en krijg toegang tot mailboxen.
CVE-2021-26857 gebruikte onveilige deserialisatie om RCE te verkrijgen, terwijl de laatste twee een willekeurige kwetsbaarheid voor het schrijven van bestanden na authenticatie gebruikten die tot RCE kon leiden.
Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, CVE-2021-22900
Verschijnt in maart, de eerste CVE scoorde een volle 10 punten voor het toestaan van een niet-geverifieerde gebruiker op afstand om willekeurige code uit te voeren, terwijl de tweede en derde CVE dicht achter op 9.9 lagen en gerelateerd waren aan het feit dat op afstand geverifieerde gebruikers willekeurige code konden uitvoeren. In het geval van CVE-2021-22894 was dit de rootgebruiker.
CVE-2021-22900 scoorde een meer bescheiden 7,2 en had betrekking op het uitvoeren van een bestandsschrijfactie door een geverifieerde beheerder dankzij een kwaadwillig vervaardigd archief dat werd geüpload via de webinterface van de beheerder.
Aankomst: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
De hacks die plaatsvonden via de Accellion FTA-bestandsoverdrachtservice lijken te blijven komen, met slachtoffers als de Reserve Bank of New Zealand, de Australian Securities and Investments Commission, Singtel en vele andere organisaties over de hele wereld.
In februari zei Accellion dat het het kwetsbare product zou stopzetten.
VMware: CVE-2021-21985
De recente kwetsbaarheid die vCenter Server en Cloud Foundation trof die RCE mogelijk maakt, maakte ook de doorslag. Toen het werd aangekondigd, waarschuwde VMware dat aangezien de aanvaller alleen poort 443 hoeft te raken om de aanval uit te voeren, firewallcontroles de laatste verdedigingslinie voor gebruikers zijn.
Fortinet: CVE-2018-13379, CVE-2020-12812, CVE-2019-5591
Dat klopt, CVE-2018-13379 heeft beide lijsten gemaakt. Wat een eer.
Gerelateerde dekking
Kaseya dringt er bij klanten op aan VSA-servers onmiddellijk af te sluiten na ransomware-aanvalMicrosoft juli 2021 Patch dinsdag: 117 kwetsbaarheden, bug Pwn2Own Exchange Server opgelost Onmiddellijk installeren: Microsoft levert noodpatch voor PrintNightmare-beveiligingsbugMicrosoft voegt tweede toe CVE voor PrintNightmare remote code execution SolarWinds geeft beveiligingsadvies uit nadat Microsoft kwetsbaarheid ontdekt
gerelateerde onderwerpen:
Security TV Data Management CXO Datacenters 