Een nieuw rapport van cyberbeveiligingsbedrijf Randori heeft de meest verleidelijke op internet blootgestelde activa gecategoriseerd waar een aanvaller waarschijnlijk achteraan gaat en misbruik van maakt, en constateert dat een op de 15 organisaties momenteel een versie van SolarWinds gebruikt waarvan bekend is dat deze actief wordt uitgebuit.
In het Randori Attack Surface-rapport van 2021 hebben onderzoekers elk activum een ”Temptation Score” toegewezen – in feite de kans dat een aanvaller er achteraan gaat. Alle blootgestelde activa met een score van meer dan 30 worden als hoog beschouwd, waarbij de activa met de hoogste rangorde op dit moment binnen hun corpus een verleidingsscore voor aanvallers van 55 bereiken. De versie van SolarWinds die actief wordt geëxploiteerd, heeft een gemiddelde verleidingsscore van 40.
Uit het rapport bleek dat meer dan 25% van de organisaties RDP heeft blootgesteld aan internet, terwijl 15% van de organisaties nog steeds verouderde versies van IIS 6 gebruikt, die al zes jaar niet door Microsoft worden ondersteund. Randori gaf de IIS 6 een verleidingsscore van 37.
Bijna 40% van de organisaties gebruikt Cisco's Adaptive Security Appliance (ASA) firewall, die een geschiedenis heeft van openbare kwetsbaarheden en een Temptation Score van 37. Bijna de helft van alle organisaties gebruikt Citrix NetScaler, die een score van 33 heeft en meerdere openbare exploits.
Zowel CiscoWeb VPN als Palo Alto Global Protect zijn lid geworden van Citrix NetScaler als VPN's die in het rapport worden vermeld met hoge Temptation-scores.
Slechts 3% van de organisaties gebruikt nog steeds versies van Microsoft Outlook Web Access maar dit verontrustte Randori-onderzoekers, die de recente Exchange-hacks en verschillende bekende exploits voor de tool opmerkten. Het was met 38 een van de hoogste op de Temptation Score-schaal.
“Veel van de blootgestelde activa – zoals SolarWinds en OWA – zijn er vanwege onwetendheid, niet uit nalatigheid. Organisaties hebben moeite om te weten wat ze op internet hebben blootgelegd. Cloudmigratie en de opmars van thuiswerken hebben het aantal blootgestelde activa — maar het is mogelijk om beveiligingsmaatregelen te nemen om u te helpen het onbekende te beveiligen,” vertelde David Wolpoff, CTO van Randori, aan ZDNet.
Het rapport merkt op dat het SolarWinds-probleem hoog in het rapport staat omdat het kwetsbaarheden openbaar heeft gemaakt, het een missiekritieke technologie is voor veel bedrijven en het op grote schaal wordt gebruikt.
“Velen gaan ervan uit dat het stellen van prioriteiten op basis van de ernst van de kwetsbaarheid u veilig zal houden. Maar dat is gewoon niet waar. Aanvallers denken daar anders over en de ernst van de kwetsbaarheid is slechts een van de vele factoren die door een aanvaller worden gewogen. Onze hoop met het vrijgeven van dit rapport is dat mensen dieper ingaan op de denkwijze van de aanvaller, aanvallerlogica toepassen op hun beveiligingsprogramma's en een stap voor blijven”, aldus Wolpoff.
Wolpoff legde uit dat het rapport is gebaseerd op gegevens over het aanvalsoppervlak van miljoenen aan internet blootgestelde activa en merkte op dat de The Temptation Score een eigen weging van zes verschillende attributen toepast om de Temptation Score van een asset te bepalen: opsombaarheid, exploiteerbaarheid, kritiekheid, toepasbaarheid, postexploitatiepotentieel en onderzoekspotentieel.
Wolpoff zei dat hij voortdurend verbaasd is om te zien dat aanvallen met weinig inspanning en gemakkelijk in te breken nog steeds werken bij succesvolle ondernemingen, zoals exploiteerbare OWA.
“Wat mij opvalt is het gebrek aan focus op de basis, zoals het verharden van de standaardconfiguraties of het zien van standaardinstellingen die admin/admin bevatten als gebruikersnaam en wachtwoord. Het aantal keren dat de standaard gebruikersnaam en wachtwoord 'admin/admin' ons in hokjes heeft gebracht, is buitengewoon verrassend', zei Wolpoff.
“Veel bedrijven gebruiken bijvoorbeeld oude Microsoft OWA met de standaardinstellingen — de naam, versie en, beter nog, configuratie-informatie openbaar maken! Hoe meer een aanvaller weet over een systeem, hoe verleidelijker het is — het maakt het gemakkelijker voor een aanvaller om te controleren of er bekende openbare kwetsbaarheden of exploits tegen die specifieke versie zijn bewapend en om te bevestigen of een exploit zal landen.”
Hij was ook geschokt door het hoge percentage van mensen die MFA niet gebruiken, en legt uit dat zijn aanvalsteam vaak met succes een aanval uitvoert met eerder bekendgemaakte inloggegevens omdat MFA niet was ingezet.
Wolpoff stelde voor dat beveiligingsteams altijd de standaardinstellingen wijzigen, zodat het versienummer niet publiekelijk zichtbaar is, en merkt op dat als bedrijven een tool niet kunnen patchen of upgraden, ze deze op zijn minst moeten verbergen.
Hij drong er bij beveiligingsteams op aan manieren te vinden om hun aanvalsoppervlakken te verkleinen door dingen offline te halen of ongebruikte functionaliteiten uit te schakelen. Het is niet langer gepast voor organisaties om genoegen te nemen met de configuratie die de fabrikant als standaard instelt en Wolpoff voegde eraan toe dat bedrijven kritieke activa, apparaten en IoT-apparaten moeten segmenteren.
Beveiliging
Als uw VPN een kwestie van leven of dood is, vertrouw dan niet op beoordelingen Ransomware-bendes klagen dat andere criminelen hun losgeld stelen Bandbreedte CEO bevestigt veroorzaakte storingen door DDoS-aanval Deze systemen krijgen elke maand te maken met miljarden aanvallen terwijl hackers wachtwoorden proberen te raden Een goedbetaalde baan in cybersecurity krijgen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
Verwante onderwerpen:
Cloudbeveiliging Tv-gegevensbeheer CXO-datacenters 