1 от 15 организации работи с активно експлоатирана версия на SolarWinds: доклад

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

А нов доклад от компанията за киберсигурност Рандори е категоризирал най-изкусителните активи, изложени на интернет, които нападателят вероятно ще преследва и експлоатира, като установява, че една от 15 организации в момента работи с версия на SolarWinds, за която е известно, че се използва активно.

В The Доклад за повърхността на атаката на Рандори за 2021 г., изследователите са присвоили на всеки актив “оценка на изкушението” – на практика вероятността атакуващият да го преследва. Всеки експониран актив с резултат над 30 се счита за висок, като активите с най -високо класиране в момента в техния корпус достигат рейтинг на изкушението на нападател 55. Версията на SolarWinds, която се използва активно, има среден рейтинг на изкушението 40.

Докладът установи, че повече от 25% от организациите имат RDP изложени на интернет, докато 15% от организациите все още използват остарели версии на IIS 6, която не се поддържа от Microsoft от шест години. Рандори даде на IIS 6 оценка за изкушение 37.

Почти 40% от организациите използват защитната стена на Cisco Adaptive Security Appliance (ASA), която има история на публични уязвимости и рейтинг на изкушенията от 37. Почти половината от всички организации управляват Citrix NetScaler, която има резултат от 33 и множество публични експлойти.

Както CiscoWeb VPN, така и Palo Alto Global Protect се присъединиха към Citrix NetScaler като VPN, изброени в доклада с високи резултати за изкушение.

Само 3% от организациите все още работят с версии на Microsoft Outlook Web Access, но това алармира изследователите на Randori, които отбелязаха последните хакове на Exchange и няколко известни експлоатации на инструмента. Той беше един от най -високите в скалата на Temptation Score на 38.

“Много от изложените активи-като SolarWinds и OWA-са там поради незнание, а не по небрежност. Организациите се борят да разберат какво са изложили в интернет. Миграцията в облака и бумът от работа от дома драстично увеличиха броя на разкрити активи – но е възможно да се въведат мерки за сигурност, които да ви помогнат да защитите неизвестното “, каза Дейвид Волпоф, технически директор на Randori, пред ZDNet.

В доклада се отбелязва, че проблемът с SolarWinds се класира високо в доклада, тъй като публично разкрива уязвимости, това е технологична технология за много бизнеси и се използва широко.

“Мнозина предполагат, че приоритизирането въз основа на тежестта на уязвимостта ще ви пази в безопасност. Но това просто не е вярно. Нападателите мислят по различен начин, а тежестта на уязвимостта е само един от многото фактори, претеглени от нападател. Надяваме се с публикуването на този доклад хората да се задълбочат мислене на нападателя, прилагане на логиката на нападателя към техните програми за сигурност и да направите крачка напред “, каза Уолпоф.

Уолпоф обясни, че докладът се основава на данни за повърхността на атаките от милиони активи, изложени на интернет, и отбеляза, че рейтингът на изкушението прилага патентовано претегляне на шест различни атрибута, за да определи оценката на изкушението на актив: преброяване, експлоатация, критичност, приложимост, потенциал след експлоатация и изследователски потенциал.

Уолпоф каза, че е непрекъснато изненадан да види, че ниските усилия, лесни за проникване атаки все още работят в успешни предприятия-като експлоатируемата OWA.

“Това, което ме впечатлява, е липсата на фокус върху основите, като например втвърдяване на конфигурациите по подразбиране или виждане на настройки по подразбиране, които съдържат admin/admin като потребителско име и парола. Броят пъти, които потребителското име и паролата по подразбиране” admin/admin “са получили ни в кутии е изключително изненадващо “, каза Уолпоф.

“Например много предприятия използват стара Microsoft OWA с настройките по подразбиране – излагане на името, версията и още по -добре информацията за конфигурацията! Колкото повече нападателят знае за една система, толкова по -изкушаваща е тя – това я прави по-лесно е нападателят да проверява кръстосано, за да види дали има известни публични уязвимости или експлоатации, оръжия срещу тази конкретна версия, и да потвърди дали ще се появи експлойт. “

Той също беше шокиран от високия процент хора, които не използват MFA, обяснявайки, че неговият екип за атака често успешно провежда атака с предварително разкрити идентификационни данни, тъй като MFA не е разгърната.

Wolpoff предложи екипи за сигурност винаги да променят настройките по подразбиране, така че номерът на версията да не се вижда публично, като отбелязва, че ако предприятията не могат да закърпят или надстроят инструмент, те трябва поне да го скрият.

Той призова екипите за сигурност да намерят начини да намалят повърхността на атаката си, като пренесат нещата офлайн или деактивират функционалности, които остават неизползвани. Вече не е подходящо организациите да се задоволят с конфигурацията, която производителят задава по подразбиране, и Wolpoff добави, че предприятията трябва да сегментират критични активи, както и уреди и IoT устройства.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •