Szervezetek figyelem: ez a TOP 10 rutinszerűen kihasznált sérülékenység a CISA szerint

Az Amerikai Egyesült Államok több kormányzati szervezete (köztük a CISA és az FBI) közös tájékoztatót tett közzé a fejlett technikákat alkalmazó kibertámadó csoportok által leggyakrabban kihasznált sérülékenységekről. Az összefoglaló nem titkolt célja egy átfogó “patch-elési kampány” serkentése, ezzel a kibertámadó csoportokat új, költségesebb és kevésbé hatékonyan alkalmazható exploitok feljesztésére szorítva.

A leginkább kihasznált sérülékenységek Top 10-es listája a 2016-2019 közötti időszakból:

• CVE-2017-11882
• CVE-2017-0199
• CVE-2017-5638
• CVE-2012-0158
• CVE-2019-0604
• CVE-2017-0143
• CVE-2018-4878
• CVE-2017-8759
• CVE-2015-1641
• CVE-2018-7600

Tapasztalatok:

• Az Egyesült Államok kormányzati technikai elemzői szerint a jelzett időszakban a kibertámadók leggyakrabban a Microsoft Object Linking and Embedding (OLE) technológia sebezhetőségeit használták fel. (Az OLE lehetőséget biztosít arra, hogy a dokumentumokba más alkalmazásokból származó tartalmak ─ például táblázatok ─ legyenek beágyazhatóak. Az OLE után a második helyen egy népszerű webes keretrendszer, az Apache Struts áll.
• A fenti 10 sérülékenység közül kínai, iráni, észak-koreai és orosz állami támogatottságú kiberfenyegetési szereplők  leggyakrabban MS OLE sebezhetőségeket (CVE-2017-11882, CVE-2017-0199, CVE-2012-0158) céloztak.
• 2019 december végégig kínai kibertámadók gyakran használták fel ugyanazt a sérülékenységet (CVE-2012-0158), amelyről az amerikai szervek már 2015-ben adtak ki figyelmeztetést. Mindez egyértelműsíti, hogy a szervezetek elmulasztották a szóban forgó sebezhetőség javításának telepítését, az állami támogatású kínai fenyegetési csoportok azonban – a tapasztalatok szerint – egészen addig arzenáljukban tartják ezeket a hibákat, amíg felhasználásuk hatékony marad.
• Egy 2019-es évre vonatkozó amerikai iparági tanulmány is megerősíti, hogy a leginkább kihasznált biztonsági hibák Microsoft és Adobe Flash termékeket érintenek, vélhetően azok széles körben való elterjedtsége okán. (Megjegyzés: A tanulmányban jelzett Top 10 sérülékenység közül négy jelen tájékoztatóban is listára került.)

A 2020-ban kihasznált sérülékenységek:

• Növekvő tendenciát mutat a VPN szoftverek sérülékenységeinek kihasználása, mint például a Citrix VPN-t érintő CVE-2019-19781, vagy a Pulse Secure VPN CVE-2019-11510 sz. sérülékenysége.
• Március óta ugrásszerűen megnőtt a távmunkában dolgozók száma, sok helyütt azonban túl gyorsan történt az átállás az olyan felhő alapú platformokra, mint a Microsoft Office 365 (O365) . A kiberfenyegetési szereplők előszeretettel választanak olyan szervezeteket célpontként, amelyek nem fordítottak elég figyelmet az O365 biztonsági konfigurációinak alkalmazására.
• A szervezetek részéről tapasztalható kiberbiztonsági gyengeségek ─ mint például az IT biztonsági képzések, vagy a rendszer helyreállítási tervek hiányosságai  ─  továbbra is fokozott veszélynek teszik ki a vállalkozásokat a zsarolóvírus támadásokkal szemben.

Védekezési megoldások:

A tájékoztató minden fent jelzett sérülékenység kapcsán védekezési javaslatot tesz. Általános tanácsként elmondható, hogy a szervezetek számára erősen ajánlott lecserélni a támogatási ciklusuk végéhez ért szoftvereket.

• CVE-2017-11882
  Sérülékeny termékek: Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016
  Kapcsolódó káros kódok: Loki, FormBook, Pony/FAREIT
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2017-0199
  Sérülékeny termékek: Microsoft Office 2007 SP3/2010, SP2/2013 SP1/2016; Vista SP2; Server 2008 SP2; Windows 7 SP1; Windows 8.1
  Kapcsolódó káros kódok: FINSPY, LATENTBOT, Dridex
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2017-5638
  Sérülékeny termékek: Apache Struts 2 2.3.x (2.3.32 előtti) és 2.5.x (2.5.10.1 előtti) verziói.
  Kapcsolódó káros kódok: JexBoss
  Javaslat: Frissítés a Struts 2.3.32-es, vagy 2.5.10.1-es verziójára.
• CVE-2012-0158
  Sérülékeny termékek: Microsoft Office 2003 SP3, 2007 SP2 és SP3, valamint 2010 Gold és SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4 és 2008 SP2, SP3, valamint R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, 2009 Gold és R2; Visual FoxPro 8.0 SP1, valamint 9.0 SP2; illetve Visual Basic 6.0
  Kapcsolódó káros kódok: Dridex
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2019-0604
  Sérülékeny termékek: Microsoft SharePoint
  Kapcsolódó káros kódok: China Chopper
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2017-0143
  Sérülékeny termékek: Microsoft Windows Vista SP2; Windows Server 2008 SP2 és R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold és R2; Windows RT 8.1; Windows 10 Gold, 1511, valamint 1607; illetve Windows Server 2016
  Kapcsolódó káros kódok: Az EternalSynergy, valamint az EternalBlue Exploit Kitet használó malware-ek.
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2018-4878
  Sérülékeny termékek: Adobe Flash Player before 28.0.0.161
  Kapcsolódó káros kódok: DOGCALL
  Javaslat: Az Adobe Flash Player  legutóbbi biztonsági frissítéseinek telepítése.
• CVE-2017-8759
  Sérülékeny termékek: Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7
  Kapcsolódó káros kódok: FINSPY, FinFisher, WingBird
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2015-1641
  Sérülékeny termékek: Microsoft Word 2007 SP3; Office 2010 SP2; Word 2010 SP2, 2013 SP1, 2013 RT SP1; Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services SharePoint Server 2010 SP2 és 2013 SP1 platformon; Office Web Apps Server 2010 SP2 és 2013 SP1
  Kapcsolódó káros kódok: Toshliph, UWarrior
  Javaslat: Az érintett Microsoft termékek biztonsági frissítéseinek telepítése.
• CVE-2018-7600
  Sérülékeny termékek: Drupal 7.5.x (7.58 előtti verziói), 8.x (8.3.9 előtti verziói), 8.4.x (8.4.6 előtti verziói), 8.5.x (8.5.1 előtti verziói)
  Kapcsolódó káros kódok: Kitty
  Javaslat: A Drupal 7, vagy 8 legfrissebb verziójára történő átállás.
• CVE-2019-11510
  Sérülékeny termékek: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15, valamint Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3R1 – 5.3R12, 5.2R1 – 5.2R12 és 5.1R1 – 5.1R15
  Javaslat: Pulse Secure eszközök legfrissebb verziójára történő átállás.
  További információ: https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
• CVE-2019-19781
  Sérülékeny termékek: Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP
  Javaslat: Citrix eszközök legfrissebb verziójára történő átállás.
  További információk: https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html; https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
• Microsoft O365 biztonsági konfigurációkból eredő hibák
  Sérülékeny termékek: Microsoft O365
  Javaslat: Microsoft O365 biztonsági ajánlások követése
• Szervezeti hiányosságokból eredő problémák
  Sérülékeny termékek: rendszerek, hálózatok, adatok.
  Javaslat: Kiberbiztonsági ajánlások követése

Kiberbiztonsági CISA anyagok:

The Patch Factory infografika

Microsoft Office 365 biztonsági ajánlások 

Kiberbiztonsági alapvetések útmutató

Forrás: https://www.us-cert.gov/ncas/alerts/aa20-133a

Címkék

szervezeti kiberbiztonság sérülékenység