Urządzenia sieciowe i brzegowe były głównym wektorem ataków w 2020 i są nadal w 2021 roku.

Wspólne wnioski trzech agencji rządowych

Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (National Cyber Security Centre, NCSC) oraz jego australijski i amerykański odpowiednik opublikowali 28 lipca raport, w którym zwracają uwagę na najczęściej wykorzystywane i powszechnie występujące luki w zabezpieczeniach i zagrożenia w tym roku a także 30 luk najczęściej wykorzystywanych w 2020 roku.

Wszystkie trzy agencje stwierdziły, że biorąc pod uwagę trwającą pandemię i związany z nią boom na zdalną pracę oraz wzmożone korzystanie z wirtualnych sieci prywatnych (VPN) a także usług w chmurze, cyberprzestępcy nasilili wykorzystywanie luk w urządzeniach sieciowych (głównie brzegowych). Zdaniem dyrektora operacyjnego NCSC, Paula Chichestera:

Opublikowany dziś poradnik daje każdej organizacji możliwość naprawy najczęstszych luk w zabezpieczeniach, takich jak niezałatane urządzenia routerów VPN. Współpracując z naszymi międzynarodowymi partnerami będziemy nadal zwiększać świadomość zagrożeń stwarzanych przez tych, którzy starają się wyrządzić krzywdę użytkownikom sieci.

Eric Goldstein, zastępca dyrektora wykonawczego ds. bezpieczeństwa cybernetycznego w amerykańskiej Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), dodaje: Organizacje, które stosują najlepsze praktyki bezpieczeństwa cybernetycznego, takie jak łatanie podatności na bieżąco, mogą zmniejszyć ryzyko dla swoich sieci, stwarzane przez cyberprzestępców wykorzystujących znane podatności.

Współpraca jest kluczową częścią pracy CISA, a dziś nawiązaliśmy współpracę z ACSC, NCSC i FBI, aby podkreślić luki w cyberprzestrzeni, które organizacje publiczne i prywatne powinny traktować priorytetowo.

Najczęściej wykorzystywane luki

Najczęściej wykorzystywane luki w 2020 roku obejmowały wiele podatności umożliwiających zdalne wykonanie kodu w produktach takich jak Atlassian, Drupal, F5-Big IP, Microsoft, MobileIron i Telerik, a także niesławną lukę CVE-2019-19781 umożliwiającą wykonanie dowolnego kodu w Citrix oraz inne błędy w produktach Fortinet, Pulse Secure i Netlogon. Wiele z nich jest nadal szeroko eksploatowanych przez atakujących.

Lista za rok 2021 zawiera z kolei luki wykorzystywane w powszechnych atakach przeprowadzanych za pośrednictwem Accellion FTA, Microsoft Exchange Server, Fortinet, Pulse Secure i VMware. Pełna lista luk w raporcie CISA zawiera również dodatkowe informacje techniczne przydatne w pracy w IT.

Co robić?

Agencje wezwały użytkowników końcowych systemów aby dołożyli wszelkich starań by aktualizować wersje oprogramowania tak szybko, jak to możliwe, niezwłocznie po udostępnieniu poprawek przez danego dostawcę, co jest najskuteczniejszą praktyką łagodzenia konkretnego CVE. Automatyzacja aktualizacji oprogramowania tam, gdzie to możliwe, to podstawowe zalecenie ze strony tych organów.

Jeśli to się nie uda (z różnych powodów automatyczne aktualizacje są wyłączane przez firmy), organizacje powinny priorytetowo traktować łatanie CVE, o których wiadomo, że są już wykorzystywane lub które są dostępne dla większej liczby potencjalnych napastników - takich jak systemy, które mają dostęp do publicznego Internetu.

Jeśli zasoby „cyberobrony” są w danej firmie ograniczone, skupienie się na łagodzeniu najczęstszych luk w zabezpieczeniach wydaje się wręcz koniecznością. Na przykład popatrzmy na CVE-2019-11580, lukę w zabezpieczeniach typu RCE (remote command execution pozwalająca na zdalne wykonanie kodu) w aplikacji do scentralizowanego zarządzania tożsamością Atlassian Crow. Był to jeden z błędów najczęściej wykorzystywanych przez grupy hakerskie wspierane przez państwa w 2020 roku – gdyby użytkownicy Atlassian skupili się na tym to mieliby możliwość znaczącego ograniczenia zdolności napastników do skutecznego zaatakowania swoich systemów poprzez przymuszenie ich do znalezienia innego, trudniejszego wektora ataku.