Sårbarhetene som blir mest utnyttet i angrep er sjelden de som ble offentlig kjent for bare noen uker siden, selv om angripere også kan være svært raske til å lage angrepskode som utnytter sårbarheter som nettopp har blitt kjent.
En ny rapport som er utgitt av U.S. Cybersecurity and Infrastructure
Security Agency (CISA), FBI, Australian Cyber Security Centre (ACSC) og britiske National
Cyber Security Centre (NCSC) gir en oversikt over sårbarhetene som i størst skal være utnyttet av ondsinnede cyberaktører i 2020 og så langt i år.
Når SAP kommer med sikkerhetsfikser, haster det ofte med å installere dem
Gamle sårbarheter utnyttes fortsatt hyppig
Tabellen nedenfor lister de mest benyttede sårbarhetene i 2020. Mange av disse utnyttes også hyppig i år. Som en ser av CVE-identifikatoren (Common Vulnerabilities and Exposures), består listen kun av sårbarheter som har vært kjente lenge, og som kan fjernes dersom sikkerhetsoppdateringer eller nyere versjoner installeres av kundene. Dersom lapping av sårbarhetene ikke er mulig, må kundene ta i bruk andre midler for å redusere faren for angrep.
Ifølge rapporten mener de fire organisasjonene av trusselaktørene trolig vil fortsette å utnytte gamle og velkjente sårbarheter så lenge de fortsatt er effektive og systemene ikke patches.
– Motstandernes bruk av kjente sårbarheter kompliserer identifiseringen av aktørene, reduserer kostnader og minimaliserer risiko fordi motstanderne ikke investerer i å utvikle nulldags-angrepskode for sin egen, eksklusive bruk, som de risikerer å miste dersom den blir kjent, heter det i rapporten.
|
Leverandør |
CVE |
Type |
|---|---|---|
|
Citrix |
CVE-2019-19781 |
kjøring av vilkårlig kode |
|
Pulse |
CVE 2019-11510 |
lesing av vilkårlig fil |
|
Fortinet |
CVE 2018-13379 |
filsti-traversering |
|
F5- Big IP |
CVE 2020-5902 |
fjernkjøring av kode (RCE) |
|
MobileIron |
CVE 2020-15505 |
RCE |
|
Microsoft |
CVE-2017-11882 |
RCE |
|
Atlassian |
CVE-2019-11580 |
RCE |
|
Drupal |
CVE-2018-7600 |
RCE |
|
Telerik |
CVE 2019-18935 |
RCE |
|
Microsoft |
CVE-2019-0604 |
RCE |
|
Microsoft |
CVE-2020-0787 |
forhøyede privilegier |
|
Netlogon |
CVE-2020-1472 |
forhøyede privilegier |
Verstingen
De fire organisasjonene mener at sårbarheten CVE-2019-19781 var den som ble mest utnyttet av alle i angrep i fjor. Den ble oppdaget i Citrix Application Delivery Controller (ADC) i 2019. ADC er et lastbalanseringsverktøy som i alle fall er utbredt i USA. Ifølge rapporten er sårbarheten trolig en favoritt blant trusselaktørene fordi den er enkel å utnytte, at produktet brukes av mange virksomheter og at utnyttelse av sårbarheten gjør det mulig for angriperne å kjøre uautorisert kode på systemet.
Ny rapport: Nesten alle virksomheter venter alvorlige cyberangrep de neste 12 månedene
Også nyere sårbarheter
I tillegg til de nevnte sårbarhetene, er det en rekke sårbarheter som først i år har blitt rutinemessig utnyttet i angrep:
- Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE2021-27065
- Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 og CVE-2021-22900
- Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
- VMware: CVE-2021-21985
- Fortinet: CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591
De fleste av sårbarhetene har blitt oppdaget i år. Unntaket er de tre Fortinet-relaterte sårbarhetene som alle ble oppdaget i 2020 eller tidligere. Flere av de berørte produktene brukes i ytterkanten av virksomhetenes IT-infrastruktur.
De fire organisasjonene som står bak rapporten anbefaler at virksomheter nå prioriterer å lappe samtlige av de nevnte sårbarhetene, siden de utgjør en spesielt høy risiko for å bli utnyttet i angrep.
Fjernarbeid har økt byrden
Ifølge rapporten preges listen over de mest utnyttede sårbarhetene av en del av sårbarhetene nå er mer aktuelle å utnytte fordi de eksisterer i løsninger som i større grad har blitt tatt i bruk under covid-19-pandemien, hvor mange jobber fra andre steder enn det vanlige kontoret. Dette inkluderer sårbarheter i VPN-tjenester.
Ifølge rapporten øker dette byrden til dem som sliter med å opprettholde takten under vedlikehold og rutinemessig programvarepatching.
Ny rapport: – Disse teknologiselskapene har flest sårbarheter
