En ny rapport fra cybersikkerhetsselskapet Randori har kategorisert de mest fristende internett-eksponerte eiendelene som en angriper sannsynligvis vil gå etter og utnytte, og finner ut at én av 15 organisasjoner for tiden driver en versjon av SolarWinds som er kjent for å bli aktivt utnyttet.
I The Randori Attack Surface Report i 2021 tildelte forskere hver eiendel en “Temptation Score” – effektivt sannsynligheten for at en angriper vil gå etter den. Enhver eksponert eiendel med en score over 30 anses å være høy, med de høyest rangerte eiendelene i sitt korpus nå en angriperes fristelsespoeng på 55. Versjonen av SolarWinds som aktivt utnyttes har en gjennomsnittlig fristelsespoeng på 40.
Rapporten fant at mer enn 25% av organisasjonene har RDP utsatt for internett mens 15% av organisasjonene fortsatt kjører utdaterte versjoner av IIS 6, som ikke har blitt støttet av Microsoft på seks år. Randori ga IIS 6 en fristelses score på 37.
Nesten 40% av organisasjonene bruker Ciscos Adaptive Security Appliance (ASA) brannmur, som har en historikk med offentlige sårbarheter og en fristelsespoeng på 37. Nesten halvparten av alle organisasjoner driver Citrix NetScaler, som har en score på 33 og flere offentlige utnyttelser.
Både CiscoWeb VPN og Palo Alto Global Protect sluttet seg til Citrix NetScaler som VPN -er oppført i rapporten med høye fristelsespoeng.
Bare 3% av organisasjonene kjører fortsatt versjoner av Microsoft Outlook Web Access men dette skremte Randori -forskere, som noterte de siste Exchange -hackene og flere kjente utnyttelsene for verktøyet. Det var en av de høyeste på Temptation Score -skalaen ved 38.
“Mange av de eksponerte eiendelene-som SolarWinds og OWA-er der på grunn av uvitenhet, ikke uaktsomhet. Organisasjoner sliter med å vite hva de har avslørt på internett. Cloudmigrasjon og bommen hjemmefra økte dramatisk antallet eksponerte eiendeler – men det er mulig å sette inn sikkerhetstiltak for å hjelpe deg med å sikre det ukjente, sier David Wolpoff, CTO i Randori, til ZDNet.
Rapporten bemerker at SolarWinds-utgaven rangerte høyt i rapporten fordi den har offentliggjort sårbarheter, at den er en virksomhetskritisk teknologi for mange virksomheter og at den er mye brukt.
“Mange antar at prioritering basert på sårbarhetens alvorlighetsgrad vil holde deg trygg. Men det er rett og slett ikke sant. Angriperne tenker annerledes, og sårbarhetens alvorlighetsgrad er bare en av mange faktorer som en angriper veier. Vårt håp med å gi ut denne rapporten er at folk vil komme dypere inn i angriperens tankegang, anvende angriperlogikk på sine sikkerhetsprogrammer og komme et skritt videre, sier Wolpoff.
Wolpoff forklarte at rapporten er basert på angrepsoverflatedata fra millioner av internett-eksponerte eiendeler og bemerket at The Temptation Score bruker en proprietær vekting av seks forskjellige attributter for å bestemme fristelsespoengene til en eiendel: opptelling, utnyttbarhet, kritikalitet, anvendbarhet, potensialet etter utnyttelse og forskningspotensialet.
Wolpoff sa at han stadig er overrasket over å se at lavt innsats, lett å bryte inn-angrep fortsatt fungerer på vellykkede bedrifter-som utnyttbar OWA.
“Det som slår meg er mangelen på fokus på det grunnleggende, som å forherde standardkonfigurasjonene eller se standardinnstillinger som inneholder admin/admin som brukernavn og passord. Antall ganger som standard brukernavn og passord “admin/admin” har fått oss inn i bokser er ekstremt overraskende, “sa Wolpoff.
“For eksempel kjører mange bedrifter gamle Microsoft OWA med standardinnstillingene – avslører navn, versjon og enda bedre konfigurasjonsinformasjon! Jo mer en angriper vet om et system, jo mer fristende er det – det gjør det lettere for en angriper å kryssjekke for å se om det er noen kjente offentlige sårbarheter eller bedrifter som er bevæpnet mot den spesifikke versjonen og å bekrefte om en utnyttelse vil lande. “
Han var også sjokkert over den høye prosentandelen av folk som ikke bruker MFA, og forklarer at angrepsteamet hans ofte utfører et angrep med tidligere avslørte legitimasjon fordi MFA ikke ble distribuert.
Wolpoff foreslo at sikkerhetsteam alltid endrer standardinnstillingene, slik at versjonsnummeret ikke er offentlig synlig, og bemerker at hvis bedrifter ikke kan lappe eller oppgradere et verktøy, bør de i det minste skjule det.
Han oppfordret sikkerhetsteamene til å finne måter å redusere angrepsoverflatene ved å ta ting frakoblet eller deaktivere funksjoner som ikke brukes. Det er ikke lenger hensiktsmessig for organisasjoner å nøye seg med konfigurasjonen produsenten angir som standard, og Wolpoff la til at foretak bør segmentere kritiske eiendeler, så vel som apparater og IoT -enheter.
Sikkerhet
Når VPN -en din handler om liv eller død, ikke stol på anmeldelser Ransomware -gjengene klager over at andre skurker stjeler løsepengene sine Bandwidth CEO bekrefter avbrudd forårsaket av DDoS-angrep Disse systemene møter milliarder av angrep hver måned mens hackere prøver å gjette passord Hvordan få en best betalende jobb innen cybersikkerhet Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen
Relaterte emner:
Cloud Security TV Datahåndtering CXO datasentre 