Podmioty zagrażające – zarówno wspierane przez państwo, jak i motywowane finansowo – w coraz większym stopniu wykorzystują nieznane wcześniej luki w zabezpieczeniach lub dni zerowychaby narazić swoje ofiary na szwank, zanim poprawki zostaną udostępnione przez branżę technologiczną, wynika z nowego poradnika opublikowanego przez agencje cybernetyczne Five Eyes, w tym brytyjską Narodowe Centrum Cyberbezpieczeństwa (NCSC) i Stanów Zjednoczonych Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA).
Agencje wspólnie sporządziły listę 15 najczęściej wykorzystywanych luk w 2023 r. i ustaliły, iż większość wykorzystanych luk to luki typu zero-day w porównaniu z mniej niż połową w 2022 r. Według NCSC tendencja ta utrzyma się do 2024 r.
NCSC stwierdziło, iż obrońcy muszą ulepszyć swoje działania, jeżeli chodzi o zarządzanie lukami w zabezpieczeniach, zwracając szczególną uwagę na jak najszybsze wdrażanie aktualizacji po ich otrzymaniu oraz upewnienie się, iż zidentyfikowali w swoich posiadłości wszystkie potencjalnie dotknięte zasoby IT.
Organizacja nalegała również, aby dostawcy i programiści dołożyli wszelkich starań, aby wdrożyć w swoich produktach zasady bezpieczeństwa już na etapie projektowania, o czym szczególnie głośno zadecydowały rządy Five Eyes – Australii, Kanady, Nowej Zelandii, Wielkiej Brytanii i Stanów Zjednoczonych – w ostatnie 18 miesięcy. Pomaga to zmniejszyć ryzyko przypadkowego wprowadzenia luk w zabezpieczeniach podczas programowania, które mogą zostać wykorzystane w dalszej części procesu.
„Bardziej rutynowe początkowe wykorzystanie luk dnia zerowego stanowi nową normalność, która powinna dotyczyć zarówno organizacji użytkowników końcowych, jak i dostawców, ponieważ złośliwi aktorzy próbują przedostać się do sieci” – powiedział Ollie Whitehouse, dyrektor ds. technologii NCSC.
„Aby zmniejszyć ryzyko kompromisu, wszystkie organizacje muszą pozostać na czele, gwałtownie wdrażając poprawki i kładąc nacisk na produkty bezpieczne już na etapie projektowania na rynku technologii” – stwierdził Whitehouse.
„Wzywamy obrońców sieci do zachowania czujności w zakresie zarządzania lukami w zabezpieczeniach, posiadania świadomości sytuacyjnej w operacjach i wzywamy twórców produktów, aby uczynili bezpieczeństwo kluczowym elementem projektowania produktu i jego cyklu życia, aby pomóc w stłumieniu tej podstępnej gry polegającej na waleniu kreta u źródła – dodał.
Pełna lista luk najczęściej wykorzystywanych w 2023 roku przedstawia się następująco:
- CVE-2023-3519błąd polegający na wstrzykiwaniu kodu w Citrix NetScaler ADC i NetScaler Gateway;
- CVE-2023-4966luka w zabezpieczeniach związana z przepełnieniem bufora w Citrix NetScaler ADC i NetScaler Gateway, czyli Citrix Bleed;
- CVE-2023-20198problem z podniesieniem uprawnień (EoP) w interfejsie internetowym Cisco IOS XE;
- CVE-2023-20273błąd polegający na wstrzykiwaniu poleceń interfejsu internetowego w Cisco IOS XE;
- CVE-2023-27997błąd przepełnienia bufora oparty na stercie w Fortinet FortiOS i FortiProxy SSL-VPN;
- CVE-2023-34362luka w zabezpieczeniach polegająca na wstrzykiwaniu SQL w Progress MOVEit Transfer, niesławnie wykorzystywana przez gang ransomware Cl0p, których skutki są przez cały czas odczuwalne;
- CVE-2023-22515zepsuta kontrola dostępu, luka w centrum danych i serwerze Atlassian Confluence;
- CVE-2021-44228problem ze zdalnym wykonaniem kodu (RCE) w Apache Log4j2, znanym również jako Log4Shell, źródłem poważnego incydentu pod koniec 2021 r i wiele lat później przez cały czas był powszechnie molestowany;
- CVE-2023-2868błąd związany z sprawdzaniem poprawności danych wejściowych w urządzeniu Barracuda Networks ESG;
- CVE-2022-47966problem z RCE w Zoho ManageEngine;
- CVE-2023-27350niewłaściwa luka w kontroli dostępu w PaperCut MF/NG;
- CVE-2020-1472luka EoP w Microsoft Netlogon, źródło kolejnej głośne wydarzenie historyczne iż w tej chwili nie ma już wymówki, aby się nie zająć;
- CVE-2023-427983błąd obejścia uwierzytelniania w JetBrains TeamCity;
- CVE-2023-23397problem z EoP w programie Microsoft Office Outlook, powszechnie używany przez rosyjskich szpiegów;
- I na koniec, CVE-2023-49103luka w ujawnianiu informacji w ownCloud graphapi.
Pełna lista, która może być pobrany z CISAzawiera również szczegółowe informacje na temat szeregu innych problemów, które zaobserwowano jako rutynowo wykorzystywane w 2023 r., wśród których najważniejsze są dwie luki w zabezpieczeniach produktów Ivanti ujawniono w sierpniu 2023 ri niesławną wadę Fortra GoAnywhere ponownie wykorzystany przez gang Cl0p.
