En ny rapport från cybersäkerhetsföretaget Randori har kategoriserat de mest lockande internet-exponerade tillgångarna som en angripare sannolikt kommer att gå efter och utnyttja, och finner att en av 15 organisationer för närvarande kör en version av SolarWinds som är känt för att vara aktivt utnyttjad.
I The Randori Attack Surface Report från 2021 tilldelade forskare varje tillgång en “Temptation Score” – effektivt sannolikheten för att en angripare kommer att gå efter den. Alla exponerade tillgångar med en poäng över 30 anses vara höga, med de högst rankade tillgångarna för närvarande inom deras korpus som når en angripares frestelse på 55. Den version av SolarWinds som aktivt utnyttjas har ett genomsnittligt frestningsresultat på 40.
Rapporten visade att mer än 25% av organisationerna har RDP exponerat för internet medan 15% av organisationerna fortfarande kör föråldrade versioner av IIS 6, som inte har stödts av Microsoft på sex år. Randori gav IIS 6 ett frestande betyg på 37.
Nästan 40% av organisationerna använder Ciscos brandvägg för Adaptive Security Appliance (ASA), som har en historia av offentliga sårbarheter och ett frestningsresultat på 37. Nästan hälften av alla organisationer driver Citrix NetScaler, som har en poäng på 33 och flera offentliga exploater.
Både CiscoWeb VPN och Palo Alto Global Protect gick med i Citrix NetScaler som VPN: er som listas i rapporten med höga Temptation Scores.
Bara 3% av organisationerna kör fortfarande versioner av Microsoft Outlook Web Access men detta skrämde Randori -forskare, som noterade de senaste Exchange -hackarna och flera kända exploater för verktyget. Det var en av de högsta på Temptation Score -skalan vid 38.
“Många av de exponerade tillgångarna-som SolarWinds och OWA-finns på grund av okunnighet, inte vårdslöshet. Organisationer kämpar för att veta vad de har avslöjat på internet. Molnvandring och högkonjunktur från hemmet ökade dramatiskt antalet exponerade tillgångar – men det är möjligt att sätta in säkerhetsåtgärder för att hjälpa dig att säkra det okända, säger David Wolpoff, CTO på Randori, till ZDNet.
Rapporten noterar att SolarWinds-frågan rankades högt i rapporten eftersom den har offentliggjort sårbarheter, att den är en verksamhetskritisk teknik för många företag och att den används i stor utsträckning.
“Många antar att prioritering baserat på sårbarhetens svårighetsgrad kommer att hålla dig säker. Men det är helt enkelt inte sant. Angripare tänker annorlunda och sårbarhetens svårighetsgrad är bara en av många faktorer som en angripare väger. Vår förhoppning med att släppa den här rapporten är att människor kommer att komma djupare in i angriparens tänkesätt, tillämpa angriparlogik för sina säkerhetsprogram och komma ett steg framåt, säger Wolpoff.
Wolpoff förklarade att rapporten är baserad på attackytdata från miljontals internet-exponerade tillgångar och noterade att The Temptation Score tillämpar en egenviktning av sex olika attribut för att bestämma en tillgångs frestningspoäng: uppräkningsbarhet, utnyttjbarhet, kritikalitet, tillämplighet, efterutnyttjandepotential och forskningspotential.
Wolpoff sa att han ständigt är förvånad över att se att låga ansträngningar, lätt att bryta in, fortfarande fungerar på framgångsrika företag-som exploaterbara OWA.
“Det som slår mig är bristen på fokus på grunderna, som att härda standardkonfigurationerna eller se standardinställningar som innehåller admin/admin som användarnamn och lösenord. Antalet gånger som standardnamnet och lösenordet “admin/admin” har fått oss in i lådor är extremt överraskande, “sade Wolpoff.
“Till exempel kör många företag gamla Microsoft OWA med standardinställningarna – avslöjar namn, version och, ännu bättre, konfigurationsinformation! Ju mer en angripare vet om ett system, desto mer lockande är det – det gör det lättare för en angripare att korskontrollera för att se om det finns några kända offentliga sårbarheter eller exploater som vapenförs mot den specifika versionen och att bekräfta om en exploatering kommer att landa. “
Han var också chockad över den höga andelen personer som inte använder MFA, förklarar att hans attacklag ofta framgångsrikt utför en attack med tidigare avslöjade referenser eftersom MFA inte var utplacerat.
Wolpoff föreslog att säkerhetsteam alltid ändrar standardinställningarna så att versionsnumret inte syns offentligt och noterar att om företag inte kan korrigera eller uppgradera ett verktyg bör de åtminstone dölja det.
Han uppmanade säkerhetsteam att hitta sätt att minska sina attackytor genom att ta saker offline eller inaktivera funktioner som inte används. Det är inte längre lämpligt för organisationer att nöja sig med konfigurationen som tillverkaren ställer in som standard och Wolpoff tillade att företag bör segmentera kritiska tillgångar såväl som apparater och IoT -enheter.
Säkerhet
När din VPN är en fråga om liv eller död, lita inte på recensioner Ransomware -gäng klagar på att andra skurkar stjäl sina lösenband Bandwidth CEO bekräftar avbrott som orsakats av DDoS-attack Dessa system möter miljarder attacker varje månad när hackare försöker gissa lösenord Hur man får ett högst betalande jobb inom cybersäkerhet Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Cloud Security TV Datahantering CXO Datacenter