Часто используемые хакерами уязвимости 2021 года

Часто используемые хакерами уязвимости 2021 года

На протяжении всего 2021 года сотрудники Positive Technologies фиксировали появление уязвимостей, которые злоумышленники тут же использовали и аналитики выпустили великолепный отчет по ситуации с безопасностью за 2021 год: www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Например, часто использовались ProxyLogon в Microsoft Exchange Server, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer — их жертвами становились сотни и тысячи организацией по всему миру. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j.

В 2021 по статистике 43% атак использовали именно уязвимости для начального проникновения в сеть. Использование таких уязвимостей оказалось несложным, поскольку эксплойты уже существуют публично и 83% обследованных организаций содержат уязвимости высокого риска, которые можно проэскплуатировать.

Самые часто используемые хакерами уязвимости по статистике экспертов Positive Technologies представлены ниже.

CVE В каком ПО обнаружена Название уязвимости Тип уязвимости Базовая оценка CVSS
CVE-2021-27101 Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27103 Accellion FTA Подделка запроса на стороне сервера 9,8
CVE-2021-27104 Accellion FTA
Remote code execution (RCE)
9,8
CVE-2021-27102 Accellion FTA
Remote code execution (RCE)
7,8
CVE-2021-26855 Сервер Microsoft Exchange ProxyLogon Подделка запроса на стороне сервера 9,8
CVE-2021-26857,
CVE-2021-26858,
CVE-2021-27065
Сервер Microsoft Exchange ProxyLogon
Remote code execution (RCE)
7,8
CVE-2021-44228 Библиотека Apache Log4j2
Remote code execution (RCE)
10,0
CVE-2021-28799 QNAP NAS
Remote code execution (RCE)
9,8
CVE-2021-34527 Диспетчер печати Windows PrintNightmare
Remote code execution (RCE)
8,8
CVE-2021-34473 Сервер Microsoft Exchange ProxyShell
Remote code execution (RCE)
9,8
CVE-2021-34523 Сервер Microsoft Exchange ProxyShell Повышение привилегий 9,8
CVE-2021-31207 Сервер Microsoft Exchange ProxyShell Обход аутентификации 7,2
CVE-2021-40444 Модуль MSHTML в Internet Explorer
Remote code execution (RCE)
7,8
CVE-2021-21972 VMware (обнаружена экспертом Positive Technologies Михаилом Ключниковым)
Remote code execution (RCE)
9,8

Для сравнения мировые организации
Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC) и United Kingdom’s National Cyber Security Centre (NCSC-UK) сообщают о тех же самых уязвимостях
Самые частые уязвимости используемые хакерами по их версии
CVE
В каком ПО обнаружена
Vulnerability Name
Type
Apache Log4j
Log4Shell
Remote code execution (RCE)
Zoho ManageEngine AD SelfService Plus
RCE
Microsoft Exchange Server
ProxyShell
Elevation of privilege
Microsoft Exchange Server
ProxyShell
RCE
Microsoft Exchange Server
ProxyShell
Security feature bypass
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Microsoft Exchange Server
ProxyLogon
RCE
Atlassian Confluence Server and Data Center
Arbitrary code execution
VMware vSphere Client
RCE
Microsoft Netlogon Remote Protocol (MS-NRPC)
ZeroLogon
Elevation of privilege
Microsoft Exchange Server
RCE
Pulse Secure Pulse Connect Secure
Arbitrary file reading
Fortinet FortiOS and FortiProxy
Path traversal
И также важно знать про эти уязвимости,
CVE
Vendor and Product
Type
Sitecore XP
RCE
ForgeRock OpenAM server
RCE
Accellion FTA
OS command execution
Accellion FTA
Server-side request forgery
Accellion FTA
OS command execution
Accellion FTA
SQL injection
VMware vCenter Server
RCE
SonicWall Secure Mobile Access (SMA)
RCE
Microsoft MSHTML
RCE
Microsoft Windows Print Spooler
RCE
Sudo
Privilege escalation
Checkbox Survey
Remote arbitrary code execution
Pulse Secure Pulse Connect Secure
Remote arbitrary code execution
SonicWall SSLVPN SMA100
Improper SQL command neutralization, allowing for credential access
Windows Print Spooler
RCE
QNAP QTS and QuTS hero
Remote arbitrary code execution
Citrix Application Delivery Controller (ADC) and Gateway
Arbitrary code execution
Progress Telerik UI for ASP.NET AJAX
Code execution
Cisco IOS Software and IOS XE Software
Remote arbitrary code execution
Microsoft Office
RCE
Microsoft Office
RCE
Что это означает для вас? Нужно проверить эти уязвимости на вашем периметре и установить патчи. Чем быстрее, тем лучше.

Также рекомендую посмотреть отчет какие решения используют компании.

Классы решений, которые действительно способны обнаружить злоумышленника в сети, использует только каждая четвертая компания: Sandbox ― 28% опрошенных, решения класса NTA ― 27%.

data-original-height=1046


Источник — персональный блог Батранкова Дениса «Реальная безопасность».

Денис Батранков
Автор: Денис Батранков
Советник по безопасности корпоративных сетей.
Комментарии: