Új támadások régi sebezhetőségeket használhatnak ki

Kiberbiztonsági cikk
Új támadások régi sebezhetőségeket használhatnak ki

A szó­ra­koz­ta­tó­i­par gyak­ran azt a tév­hi­tet kel­ti, hogy a hac­ke­rek fő­ként ki­fi­no­mult és mo­dern tá­ma­dók, akik min­dig ké­szen áll­nak a leg­új­abb biz­ton­sá­gi ré­sek ki­hasz­ná­lá­sá­ra. Bár ez rész­ben i­gaz, egy­re in­kább lát­ha­tó­vá vá­lik, hogy a tá­ma­dók nem csu­pán a leg­fris­sebb, „nul­la­dik na­pi” se­bez­he­tő­sé­ge­ket ke­re­sik, ha­nem szí­ve­sen hasz­nál­ják ki a ré­geb­bi hi­bá­kat is. A­kár egy o­lyan sé­rü­lé­keny­ség­ről van szó, a­me­lyet ab­ban az év­ben fe­dez­tek fel, a­mi­kor az App­le be­mu­tat­ta az i­Pa­det, vagy egy több év­vel ko­ráb­bi hi­bá­ról, a tá­ma­dók min­den a­dó­dó le­he­tő­sé­get ki­hasz­nál­nak, hogy el­őnyt sze­rez­ze­nek. Ez rá­mu­tat ar­ra, hogy a se­bez­he­tő­sé­gek el­le­ni vé­de­ke­zés­nek fo­lya­ma­tos­nak kell len­ni­e, és nem sza­bad meg­fe­led­kez­ni a ré­geb­bi hi­bák ki­ja­ví­tá­sá­ról sem.

„Klasszikus” sebezhetőségek

A kiberbiztonsági szakemberek jól tudják, hogy a gyakori sebezhetőségek és expozíciók (CVE) listája végtelennek tűnhet. Míg a felelős szervezetek igyekeznek lépést tartani a legújabb sebezhetőségekkel, gyakran megfeledkeznek arról, hogy néhány legnagyobb fenyegetés már régóta jelen van, és a támadók szívesen térnek vissza a régi hibákhoz. Azok a vállalatok, amelyek nem kezelik időben a CVE-ket, meglepődhetnek, amikor kiderül, hogy néhány régebbi probléma továbbra is megoldatlan maradt, még akkor is, ha a javítások már régóta elérhetők. A CISA (Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége) szerint a leggyakrabban kihasznált CVE-k közül hét 2019-es vagy annál régebbi. Íme néhány példa:

  • CVE-2019-11510: A Pulse Connect Secure és a Pulse Policy Secure VPN-ek sebezhetősége lehetővé teszi egy támadó számára, hogy megkerülje az autentikációt és hozzáférjen a fájlokhoz. Ez a sérülékenység zsarolóvírus-támadásokban is szerepet játszott, például a REvil malware esetében. CVSS értékelés: 10, kritikus.

  • CVE-2018-13379: A Fortinet FortiOS és FortiProxy rendszerek sebezhetősége egy távoli támadónak lehetőséget biztosít a felhasználói hitelesítő adatok megszerzésére. A hiba kijavítása jelszó visszaállítást igényelt, amelyet sok felhasználó elhanyagolt. CVSS értékelés: 9.8, kritikus.

  • CVE-2019-19781: A Citrix Application Delivery Controller és Gateway sérülékenysége lehetővé teszi a támadók számára, hogy szkenneljék a sebezhető szervereket és tetszőleges kódot hajtsanak végre. CVSS értékelés: 9.8, kritikus.

  • CVE-2019-18935: A Telerik UI for ASP.NET AJAX eszközkészlet sebezhetősége távoli kód végrehajtását teszi lehetővé, amelyet korábbi CVE-k kihasználásával érnek el a támadók. CVSS értékelés: 9.8, kritikus.

  • CVE-2018-0171: A Cisco IOS szoftver Smart Install sebezhetősége távoli támadónak lehetőséget ad tetszőleges kód végrehajtására vagy rendszer újraindítására, amely hálózati kiesést okozhat. CVSS értékelés: 9.8, kritikus.

  • CVE-2017-11882: A Microsoft Office memória korrupciós sebezhetősége a támadóknak távoli kód végrehajtását teszi lehetővé, ha a felhasználó megnyit egy rosszindulatú dokumentumot. CVSS értékelés: 7.8, magas.

  • CVE-2017-0199: Egy másik Microsoft hiba, amely lehetővé teszi a támadóknak a rendszer feletti irányítás átvételét speciálisan kialakított fájlok segítségével. CVSS értékelés: 7.8, magas.

Ezek a CVE-k évek óta léteznek, mégis gyakran kihasználják őket a kiberbűnözők, ami rámutat arra, hogy a biztonságukra továbbra is kiemelten kell figyelni.

Lehetséges kockázatok

A CVE-k száma folyamatosan növekszik, és ezek a régi sebezhetőségek továbbra is komoly fenyegetést jelentenek. A Sophos 2023-as jelentése szerint a támadók egyre inkább kihasználják a Mac, Linux és mobil platformok sebezhetőségeit is, nemcsak a Windows rendszereket.

Miért maradnak fenn a régi sebezhetőségek?

Az, hogy ezek a sebezhetőségek még mindig aktívan kihasználhatók, gyakran arra vezethető vissza, hogy a rendszerek nem kapnak megfelelő javítást. Az IT személyzet sokszor túlterhelt, és prioritás nélkül hagyja a régebbi CVE-ket, amelyeket kevésbé fenyegetőnek ítélnek meg, vagy úgy gondolják, hogy már megoldották őket.

Mit tehetünk?

A kockázatalapú sebezhetőségkezelés (VM) és a penetrációs tesztelés alkalmazása segíthet a szervezeteknek azonosítani és prioritizálni a legkritikusabb gyengeségeket, megelőzve, hogy a támadók kihasználhassák azokat.

Forrás Fortra