Un gruppo di ricercatori ha stilato un elenco delle vulnerabilità che, secondo analisi e dati telemetrici, sono quelle attualmente più sfruttate da attacchi ransomware: sono le brecce che utilizzano per irrompere nei sistemi di aziende e utenti.
Tutti i dati sono stati riassunti una semplice tabella, pubblicata su Twitter: un materiale estremamente utile per mettersi al riparo dalle minacce attualmente più attive e perchè ribadisce l'importanza e la centralità del patch management. Sottolineando però un punto: la prevenzione diventa un'attività sempre più complessa nella quale assume sempre più rilievo l'analisi e lo studio delle minacce più diffuse per procedere a patching mirato. L'elenco riprende i prodotti più utilizzati e diffusi e, sotto, vi sono riportati gli identificativi CVE assegnati ad ogni singola vulnerabilità.
Fonte: https://twitter.com/uuallan/status/1438899102448820224 |
Ad ogni ransomware il suo ariete
Tra le vulnerabilità indicate troviamo quelle di QNAP ad esempio: il ransomware QLocker, di cui abbiamo reso una panoramica qui, ha sfruttato attivamente la CVE-2021-28799. Questa è già stata patchata, ma i dispositivi vulnerabili sono ancora tantissimi. La patch impedisce l'uso di credenziali hard-coded. Sempre i NAS QNAP, ma anche i NAS Synology sono stati sotto attacco del ransomware QNAPCrypt: questo sfrutta la CVE-2021-28799.A metà 2021 il ransomware Cring ha invece sfruttato un bug della VPN Fortinet per criptare dispositivi vulnerabili alla CVE-2018-13379, anche questa già patchata.
A Luglio invece il ransomware HelloKitty ha colpito i dispositivi SonicWall sfruttando la CVE-2019-7481. In contemporanea REvil violava la piattaforma Kaseya determinando uno dei più gravi attacchi supply chain dell'anno: ben 3 le vulnerabilità sfruttate CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120.
Ad Agosto il ransomware LockFile si è presentato sulle scene usando una combo devastante: la suite di vulnerabilità ProxyShell (l'insieme delle 3 vulnerabilità CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) e l'attacco PetitPotam, che sfrutta la CVE-2021-36942. Ricordiamo che per PetitPotam ad ora non ci sono soluzioni ufficiali, solo patch non ufficiali: qui l'alert di Microsoft.
A Settembre il ransomware Conti, vecchia conoscenza, ha iniziato a prendere di mira i server Microsoft Exchange, sempre sfruttando ProxyShell. Server Exchange che comunque sono sotto un vero e proprio assedio: la scoperta di 4 vulnerabilità 0day, denominate ProxyLogon ha scatenato attacchi in tutto il mondo da parte dei ransomware DearCry e BlackKingdom. ProxyLogon si compone di 4 vulnerabilità: CVE-2021-26855; CVE-2021-26857; CVE-2021-26858; CVE-2021-27065.
Nessun commento:
Posta un commento