امروز بحث می کنیم که کدام سرویس ها و برنامه ها باید ابتدا پچ شوند و مهاجمان روی چه چیزی تمرکز می کنند.
تعداد آسیبپذیریهای نرمافزاری که سالانه کشف میشوند، همچنان در حال افزایش است و مجموع آسیبپذیریهای کشف شده در یک سال به سرعت به مرز 30000 نزدیک میشود. اما برای تیمهای امنیت سایبری مهم است که دقیقاً مشخص کنند مهاجمان واقعاً از کدام آسیبپذیریها سوء استفاده میکنند. تغییرات در لیست آسیبپذیریهای مورد علاقه مجرمان تأثیر زیادی بر این دارد که کدام بهروزرسانیها یا اقدامات متقابل باید در اولویت قرار گیرند. به همین دلیل است که ما به طور مرتب این تغییرات را زیر نظر داریم. بنابراین، در اینجا نتایجی وجود دارد که می توان از گزارش سوء استفاده و آسیب پذیری ما برای سه ماهه اول 2024 استخراج کرد.
آسیب پذیری ها به طور فزاینده ای بحرانی می شوند. اکسپلویت – به راحتی در دسترس است
به لطف برنامههای پاداش باگ و اتوماسیون، شکار آسیبپذیری به طور قابل توجهی در مقیاس افزایش یافته است. این بدان معناست که آسیبپذیریها بیشتر کشف میشوند، و زمانی که محققان یک حمله را پیدا میکنند، اولین آسیبپذیری شناسایی شده اغلب توسط یک سری آسیبپذیری دیگر دنبال میشود – همانطور که اخیراً با راهحلهای Ivanti دیدیم. سال 2023 یک رکورد پنج ساله برای تعداد آسیبپذیریهای حیاتی یافت شده ثبت گردید. در همان زمان، آسیبپذیریها به طور فزایندهای برای طیف وسیعتری از مهاجمان و مدافعان قابل دسترسی هستند – زیرا بیش از 12 درصد از آسیبپذیریهای کشفشده اثبات مفهوم (PoC) مدت کوتاهی پس از آن در دسترس عموم قرار گرفت.
رشد تصاعدی تهدیدات لینوکس
اگرچه این افسانه که “هیچ کس به لینوکس حمله نمی کند” قبلاً از بین رفته است، بسیاری از متخصصان هنوز مقیاس تهدیدات لینوکس را دست کم می گیرند. در طول سال گذشته، تعداد CVE های مورد سوء استفاده در لینوکس و برنامه های محبوب لینوکس بیش از سه برابر افزایش یافته است. مهاجمان بهره برداری سرورها و همچنین دستگاه های مختلف مبتنی بر سیستم های *nix را هدف قرار می دهد.
نمونه بارز علاقه مهاجمان به لینوکس، عملیات چند ساله برای به خطر انداختن کتابخانه XZ و ابزارهای کمکی به منظور ایجاد یک درب پشتی SSH در توزیع های محبوب لینوکس بود.
سیستم عامل ها دارای نقص های مهم تری هستند، اما سایر برنامه ها بیشتر مورد سوء استفاده قرار می گیرند.
مشخص شد که سیستمهای عامل دارای حیاتیترین آسیبپذیریها با اکسپلویتهای موجود هستند. با این حال، نقص های مهم در سیستم عامل ها به ندرت برای نفوذ اولیه به زیرساخت اطلاعات یک سازمان مفید هستند. بنابراین، اگر به آسیبپذیریهای برتر در حملات سایبری APT نگاه کنید، تصویر بهطور قابل توجهی تغییر میکند.
در سال 2023، رتبه اول لیست آسیبپذیریهای مورد سوء استفاده تغییر کرد: پس از سالها پس از MS Office، WinRAR جای خود را با CVE-2023-38831 گرفت – که توسط بسیاری از گروههای جاسوسی و جنایی برای ارائه بدافزار استفاده میشود. با این حال، مکان های دوم، سوم و پنجم در سال 2023 همچنان توسط نقص های آفیس اشغال شده بود و Log4shell بدنام در جایگاه چهارم به آنها پیوست. دو آسیبپذیری در MS Exchange نیز از جمله مواردی بودند که اغلب مورد سوء استفاده قرار میگرفتند.
در سه ماهه اول سال 2024، وضعیت کاملاً تغییر کرده است: حفرههای امنیتی بسیار راحت در سرویسهای قابل دسترسی به اینترنت برای مهاجمان باز شده است که امکان بهرهبرداری انبوه را فراهم میکند – یعنی در برنامه MSP ConnectWise و همچنین Connect Secure و Policy Secure Ivanti. در رتبه بندی محبوبیت، WinRAR به رتبه سوم سقوط کرده است و آفیس به طور کلی از بالای صفحه ناپدید شده است.
سازمان ها در پچ کردن بسیار کند هستند
تنها سه آسیبپذیری از 10 آسیبپذیری برتر در سال گذشته در سال 2023 کشف شد. بقیه CVEهایی که به طور فعال مورد بهرهبرداری قرار گرفتهاند به سالهای 2022، 2020 و حتی 2017 بازمیگردند. این بدان معناست که تعداد قابل توجهی از شرکتها یا بهطور انتخابی سیستمهای فناوری اطلاعات خود را بهروزرسانی میکنند یا برخی مشکلات را ترک میکنند. برای چندین سال بدون استفاده از اقدامات متقابل. بخشهای فناوری اطلاعات به ندرت میتوانند منابع کافی را برای اصلاح به موقع همه چیز اختصاص دهند، بنابراین یک راهحل هوشمند میانمدت، سرمایهگذاری در محصولاتی برای شناسایی خودکار اشیاء آسیبپذیر در زیرساختهای فناوری اطلاعات و بهروزرسانی نرمافزار است.
هفته های اول پس از افشای عمومی یک آسیب پذیری، مهم ترین هفته ها هستند
مهاجمان سعی میکنند از آسیبپذیریهای جدید منتشر شده نهایت استفاده را ببرند، بنابراین هفتههای اول پس از ظاهر شدن یک اکسپلویت بیشترین فعالیت را مشاهده میکنند. این باید هنگام برنامه ریزی چرخه های به روز رسانی در نظر گرفته شود. در صورتی که آسیب پذیری مهمی ظاهر شود که مستقیماً زیرساخت فناوری اطلاعات شما را تحت تأثیر قرار می دهد و نیاز به پچ فوری دارد، داشتن یک طرح پاسخ ضروری است. البته ابزارهای اتوماسیونی که در بالا ذکر شد کمک زیادی به این امر می کنند.
ابعاد حمله های جدید
شما نمی توانید فقط روی برنامه های اداری و خدمات “پیرامونی” تمرکز کنید. بسته به زیرساخت فناوری اطلاعات یک سازمان، خطرات قابل توجهی می تواند از بهره برداری از سایر بردارها ناشی شود – کمتر محبوب اما برای دستیابی به اهداف مخرب خاص بسیار مؤثر است. علاوه بر CVE-2024-3094 که قبلاً در XZ Utils ذکر شد، سایر آسیب پذیری های مورد علاقه مهاجمان عبارتند از CVE-2024-21626 در runc – امکان فرار از یک کانتینر و CVE-2024-27198 در ابزار CI/CD TeamCity – ارائه دسترسی به سیستم های توسعه دهنده نرم افزار
توصیه های حفاظتی
داشتن درک به روز و عمیق از دارایی های IT شرکت، نگهداری سوابق دقیق سرورها، خدمات، حساب ها و برنامه های موجود.
پیاده سازی یک سیستم مدیریت به روز رسانی که شناسایی سریع نرم افزارهای آسیب پذیر و پچ را تضمین می کند. راه حل ارزیابی آسیب پذیری و مدیریت پچ Kaspersky همراه با فید داده های آسیب پذیری Kaspersky برای این کار ایده آل است.
از راهحلهای امنیتی استفاده کنید که هم میتوانند از راهاندازی بدافزار جلوگیری کنند و هم تلاشها برای سوءاستفاده از آسیبپذیریهای شناخته شده را در همه رایانهها و سرورهای سازمان شما شناسایی و متوقف کنند.
یک سیستم حفاظتی جامع چند سطحی را پیاده سازی کنید که می تواند ناهنجاری ها در زیرساخت و حملات هدفمند به سازمان شما را شناسایی کند، از جمله تلاش برای سوء استفاده از آسیب پذیری ها و استفاده از نرم افزارهای قانونی توسط مهاجمان. برای این، راه حل Kaspersky Symphony، که می تواند با نیازهای شرکت های با اندازه های مختلف سازگار شود، کاملاً مناسب است.
ترجمه:
پیشگامان تجارت امن ایرانیان