A Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou um relatório de coautoria da NSA, FBI e FYEY (Five Eyes) de diferentes países.
O relatório fornece uma visão completa das vulnerabilidades e exposições comuns (CVEs) que foram frequentemente exploradas pelos agentes de ameaças.
De acordo com o relatório, os agentes de ameaças têm confiado em vulnerabilidades de software desatualizadas para exploração, em vez daquelas divulgadas recentemente. Os sistemas que foram expostos à Internet e não foram corrigidos foram os alvos principais.
A exploração de vulnerabilidades em 2022
Em 2022, descobriu-se que os agentes de ameaças exploravam vulnerabilidades conhecidas dois anos após a sua exposição pública. A maioria das vulnerabilidades exploradas tinha Prova de Conceito (PoC) disponível publicamente.
No entanto, a correção oportuna dessas vulnerabilidades reduzirá as operações dos atores da ameaça, resultando na mudança dos atores mal-intencionados para um processo mais demorado, como uma exploração de dia zero ou a condução de operações da cadeia de fornecimento de software).
Principais vulnerabilidades exploradas
A vulnerabilidade mais explorada de 2022 foi CVE-2018-13379 que afetou as VPNs SSL da Fortinet. Além disso, esta vulnerabilidade foi uma das mais exploradas em 2020 e também em 2021.
Muitas organizações ainda não corrigiram esta vulnerabilidade, o que dá mais espaço para atores mal-intencionados.
Atlassian tinha duas vulnerabilidades CVE-2021-26084 (execução de código arbitrário) e CVE-2022-26134 (Execução remota de código), que foram explorados principalmente em 2022. Ambos pertencem ao Confluence Server e Data Center.
Os servidores de email do Microsoft Exchange tinham três CVEs CVE-2021-34473, CVE-2021-31207e CVE-2021-34523 que foram frequentemente exploradas em 2022. Todas essas vulnerabilidades são conhecidas como ProxyShell, que pode permitir que um agente de ameaça execute código arbitrário.
VMware Workspace ONE Access, Identity Manager e outros produtos VMware tinham duas vulnerabilidades CVE-2022-22954 e CVE-2022-22960, que foram principalmente alvo de agentes de ameaças.
Essas vulnerabilidades eram RCE, escalonamento de privilégios e autenticação.
Além disso, a CISA lançado uma lista de 42 vulnerabilidades que foram exploradas com frequência por agentes de ameaças e que ainda precisam ser corrigidas por muitas organizações.
Recomenda-se que os usuários dos produtos especificados atualizem seus produtos para a versão corrigida mais recente para evitar a exploração por agentes de ameaças.
É uma prática recomendada acompanhar os patches recentes e as versões de software que estão em uso em uma organização.
