Qualys Inc., vodeći pružatelj IT rješenja, sigurnosti i usklađenosti temeljenih na oblaku, objavio je
izvješće o istraživanju TruRisk za 2023. godinu.
Izvješće pokriva veliki broj ranjivosti koje je Qualys otkrio u 2022. godini – više od 2,3 milijarde. Nalazi izvješća odgovaraju oportunističkom ponašanju zlonamjernih aktera koji su i dalje agilni u modificiranju tehnika za uspješno eksploatiranje sigurnosnih propusta.
Eksplozija digitalne transformacije je neizbježna. Tvrtke nastoje kupcima ponuditi što bolje digitalno iskustvo. Također, i globalne vladine organizacije značajno ubrzavaju digitalne programe koji građanima putem e-upravljanja, biometrijskog identiteta i bez kartičnog plaćanja omogućuju prevladavanje financijske isključenosti.
Sve to je dovelo do nevjerojatne količine softvera koji se razvijaju u posljednjih nekoliko godina. Usporedno je porastao i broj softverskih ranjivosti, koji će i dalje rasti. Kada tome pridodamo i nedostatak kvalificiranih stručnjaka za kibernetičku sigurnost, CISO-i i sigurnosni timovi nalaze se pred zastrašujućim izazovom dok pokušavaju održati korak s ogromnom količinom informacija koje im pristižu.
CISO i sigurnosni timovi moraju neprestano raditi kako bi održali korak s brzim tempom tehnološkog napretka i evolucijom kibernetičkih prijetnji i tako smanjili sigurnosne rizike svoje organizacije.
Izvješće o istraživanju Qualys 2023 TruRisk donosi pet najviše iskorištavanih ranjivosti u kalendarskoj 2022. godini i pet ključnih rizika koje sigurnosni timovi moraju uzeti u obzir.
Kako bi sastavila izvješće, Qualysova jedinica za istraživanje prijetnji (Threat Research Unit) analizirala je više od 13 milijardi događaja i tako dobila uvid u ranjivosti pronađene na uređajima, sigurnost web-aplikacija i pogrešnu konfiguraciju uređaja na lokaciji.
Najviše iskorištavane ranjivosti su CVE-2022-30190 (Follina); CVE-2022-26134 (Atlassian); CVE-2022- 22954 (VMware); CVE-2022-1040 (Sophos Firewall); i CVE-2022-24521 (Windows). Prve četiri navedene imaju ocjenu ranjivosti Qualys (QVS) od 100; a posljednja ocjenu 95. Svih pet korišteno je u napadima ransomwarea i svih pet je uključeno u CISA-in KEV popis.
CVE-2022-30190, Follina, koristi Microsoftove rukovatelje (handlers) URL-ovima koji omogućuju PowerShell naredbama da omoguće daljinsko izvršavanje koda. Poznato je da su ga koristila najmanje četiri poznata izvršitelja prijetnji, uključujući Fancy Bear, Wizard Spider, Luckycat i UAC-0098. Qualys je upoznat sa šest zlonamjernih programa koji su koristili ovu ranjivost, uključujući Qakbot, Skeeyah i Black Basta ransomware. Stopa zakrpa za ovu ranjivost je relativno visoka i iznosi 91,21%, a u prosjeku je bilo potrebno 28,4 dana od izdavanja zakrpe. No, s obzirom na 12,8 milijuna otkrivenih slučajeva širom svijeta, broj nezakrpanih uređaja i dalje je velik.
CVE-2022-26134, Atlassian, neautentificirano daljinsko izvršavanje koda omogućuje napadaču izvršavanje proizvoljnog koda na Confluence Serveru ili instanci podatkovnog centra. Iskorištavaju ga najmanje četiri obitelji zlonamjernog softvera, uključujući Sparkling Goblin i dvije skupine ransomwarea Cerber i AvosLocker. Unatoč jednostavnosti, njegova stopa zakrpa je niska i iznosi
58,30% za što je u prosjeku potrebno 28,5 dana.
CVE-2022-22954, VMware, je ranjivost daljinskog iskorištavanja koda koju može lako iskoristiti bilo tko s pristupom ranjivoj instanci. Bila je to jedna od pet ranjivosti otkrivenih u to vrijeme; od kojih su dva dodana na CISA-in KEV popis, no samo jednu (i to ovu) iskorištavaju akteri prijetnji i ransomware grupe. Qualys posebno spominje grupu Rocket Kitten te obitelji ransomwarea RAR1Ransom i Clop. Ima stopu zakrpa od 87,3% izdanih u prosjeku od 14,3 dana.
CVE-2022-1040i, Sophos, ranjivost je zaobilaženja provjere autentičnosti vatrozida koja dopušta neovlašteni pristup vatrozidu radi izvršavanja proizvoljnog koda. Koristile su ga grupe za prijetnje LuckyCat i DriftingCloud, a koristila ga je i obitelj Ragnarok ransomwarea. Ima stopu zakrpa od samo 34,7% za prosječno 70 dana.
CVE-2022-24521, Windows, je ranjivost koja utječe na CLFS upravljački program (driver). Omogućuje eskalaciju privilegija i koristit će se u kombinaciji s drugim tehnikama iskorištavanja. Takve se ranjivosti obično koriste nakon što napadač dobije pristup ranjivom sustavu kako bi povećao privilegije. Otkriven je u više od 14 milijuna slučajeva. CISA ga je dodala na KEV popis dva dana prije nego što je NVD objavio CVE. Poznato je da su ga koristili UNC2596 i Vice Society, dok su drugi napadi primijećeni iz četiri obitelji malwarea, uključujući N13V/RedAlert, Cuba i Yunluowang. Ima stopu zakrpa od 90% u prosjeku od 20,6 dana.