De meest misbruikte kwetsbaarheden

De meeste bugs worden nog steeds routinematig misbruikt in omgevingen waar organisaties falen in correcte inventarisatie en patchen. We hebben een aantal van de meest misbruikte bugs en kwetsbaarheden op een rij gezet:

1. Log4Shell (CVE-2021-44228)

Op de eerste plaats staat de beruchte fout in de logbibliotheek van Apache Java, Log4j, die eind 2021 voor het eerst werd onthuld. Deze kwetsbaarheid, die gebruikt wordt voor het uitvoeren van code op afstand, wordt nog steeds op grote schaal uitgebuit omdat de Log4j-bibliotheek veel gebruikt wordt in webapplicaties. Het kwam voor veel organisaties en netwerkbeheerders als een grote verrassing dat deze afhankelijkheid zich in hun softwarestack bevond.

Toen de details van de kwetsbaarheid aan het licht kwamen, probeerden organisaties snel inzicht te krijgen in de mate waarop ze werden blootgesteld en daarop tijdig patches toe te passen. Dit proces werd bemoeilijkt doordat verschillende vroege patchpogingen al snel ontoereikend bleken te zijn. De Log4Shell-kwetsbaarheid toont aan dat er veel organisaties zijn die nog steeds geen passende maatregelen hebben genomen.

2. ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523)

ProxyShell bestaat uit drie afzonderlijke fouten in Microsoft Exchange e-mailserver, die het omzeilen van beveiligingsfuncties, RCE en het verhogen van privileges mogelijk maken. Als ProxyShell wordt gekoppeld in blootgestelde omgevingen, kan een aanvaller persistente toegang tot stand brengen en kwaadaardige PowerShell-opdrachten uitvoeren. Succesvolle uitbuiting stelt kwaadwillenden in staat de volledige controle over kwetsbare Microsoft Exchange-e-mailservers te krijgen.

CISA ondekte dat deze bugs, die in augustus 2021 voor het eerst aan het licht kwamen, zich bevonden in de Microsoft Client Access Service (CAS). Dit is een service die gewoonlijk draait op poort 443 in Microsoft Internet Information Services (IIS) en die vaak in verbinding staat met het internet, zodat gebruikers hun e-mail kunnen openen vanaf mobiele apparaten en webbrowsers. Zoals bij veel van deze CVE’s is de Proof of Concept-code samen met de documentatie openbaar, waardoor deze verzameling kwetsbaarheden zeer aantrekkelijk is voor kwaadwillenden.

3. ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)

Het is een zwaar jaar geweest voor organisaties die gebruikmaken van een Microsoft Exchange server. Voorafgaand aan ProxyShell kwamen vier actief uitgebuite zero-day-exploits aan het licht. Gezamenlijk staan ze sinds maart 2021 bekend als ProxyLogon.

ProxyLogon treft Microsoft Exchange 2013, 2016 en 2019. De zwakke plekken werden aanvankelijk ontdekt nadat ze waren gebruikt door het Chinese APT HAFNIUM. Ze zijn sindsdien massaal uitgebuit door veel kwaadwillenden, aangezien de bugs voorkomen in standaardconfiguraties van veelgebruikte bedrijfssoftware. Het is bekend dat kwaadwillenden geautomatiseerde tools gebruiken om actief te scannen naar ongepatchte servers en deze te identificeren.

De vier CVE’s hebben betrekking op niet-vertrouwde verbindingen met de Exchange-server op poort 443 en kunnen zonder tussenkomst van de gebruiker worden misbruikt. ProxyLogon stelt kwaadwillenden in staat authenticatie te omzeilen, e-mails te lezen en malware te plaatsen in bedrijfsnetwerken.

4. ZeroLogon (CVE-2020-1472)

Niet alle kwetsbaarheden die momenteel vaak worden misbruikt zijn vorig jaar ontdekt. Sommige kwetsbaarheden zijn al langer bekend maar worden nog steeds misbruikt, ook al zijn er al lang oplossingen voor beschikbaar. De belangrijkste is de beruchte ZeroLogon-bug die in augustus 2020 is ontdekt. ZeroLogon, dat een maand nadat Microsoft het had gepatcht werd onthuld, is een bug waarmee privileges kunnen worden verhoogd. De bug omvat een cryptografische fout in Microsoft’s Active Directory Netlogon Remote Protocol (MS-NRPC).

Door dit lek te misbruiken kan een aanvaller op afstand een authenticatietoken voor Netlogon vervalsen en het wachtwoord van de computer van de domeincontroller van een bekende waarde voorzien. Kwaadwillenden kunnen deze kwetsbaarheid misbruiken om andere apparaten op het netwerk te benaderen. Vervolgens ontdekten onderzoekers andere manieren voor de inzet van Zerologon, zoals voor de diefstal van alle domeinwachtwoorden. Zerologon is waargenomen in de aanvalsketen van ransomware-actoren zoals Ryuk. Er zijn meerdere openbare POC-exploits beschikbaar.

5. Microsoft Exchange Server (CVE-2020-0688)

CVE-2020-0688, ook voor het eerst ontdekt in 2020, is een andere kwetsbaarheid voor het uitvoeren van code op afstand in Microsoft Exchange Server. Deze treedt op als de server er niet in slaagt om op de juiste manier unieke sleutels aan te maken tijdens de installatie.
In september 2020 adviseerde CISA dat aan China gelieerde actoren misbruik maakten van CVE-2020-0688 voor het op afstand uitvoeren van code om e-mail van doelnetwerken te verzamelen. In juli 2021 en in februari 2022 adviseerde CISA dat aan Rusland gelieerde actoren misbruik maakten van CVE-2020-0688 om privileges te escaleren en op afstand code op kwetsbare Microsoft Exchange-servers te laten uitvoeren.

6. Pulse Secure Pulse Connect Secure (CVE-2019-11510)
CVE-2019-11510 is een kwetsbaarheid die van invloed is op Pulse Secure VPN-appliances, waardoor kwaadwillenden toegang kunnen krijgen tot netwerken van slachtoffers. Een niet-geauthenticeerde aanvaller op afstand kan een speciaal aangemaakte URI verzenden om een willekeurige kwetsbare bestanden uit te lezen. Van dit lek is misbruik gemaakt door zowel Chinese als Russische actoren. Het is gebruikt in omvangrijke campagnes die gericht zijn op onderzoeksgegevens van COVID-19 tijdens de recente pandemie.

In april van 2019 zijn patches uitgebracht voor deze kwetsbaarheid. Er hebben zich echter meerdere incidenten voorgedaan waarbij gecompromitteerde AD-credentials werden gebruikt, maanden nadat slachtoffers hun VPN-appliance hadden gepatcht. CISA zegt ook dat het heeft gereageerd op talrijke incidenten bij de Amerikaanse overheid en commerciële partijen bij wie kwaadwillenden misbruik hebben gemaakt van CVE-2019-11510.

Conclusie

Succesvolle beveiligingsteams begrijpen dat oude kwetsbaarheden nooit verdwijnen. Hoewel de focus en de ‘brandoefeningen’ vaak gericht zijn op de nieuwste CVE’s die in het nieuws komen, biedt de jaarlijkse lijst van de CISA een waarschuwing voor ons allemaal: vind de kwetsbaarheden in de softwarestack voordat kwaadwillenden dat doen. Het is belangrijk om te onthouden dat, vanuit het oogpunt van een aanvaller, het uitbuiten van oude zwakke plekken een succesvolle aanvalsvector blijft. De Proof of Concept exploit code is namelijk publiekelijk beschikbaar en kost dus minder werk dan het ontdekken en ontwikkelen van nieuwe zero-day-exploits.

Door Christof Jacques, Enterprise Sales Engineer bij SentinelOne.

Lees ook:

Gerelateerde berichten...

X