آژانس های امنیتی آمریکا ، نیوزلند ، کانادا و انگلیس یک مشاوره امنیتی مشترک (CSA) منتشر کردند و تو اون 15 تا از بیشترین اکسپلویتهایی که عاملان تهدید ازشون در سال 2021 استفاده کردند رو منتشر و به سازمانها و شرکتها هشدار دادند تا اونارو رفع کنن. این گزارش میتونه برای شرکت ها و سازمانهای ایرانی هم زنگ خطری داشته باشه تا هر چه سریعتر نسبت به رفع اون اقدامات لازم رو انجام بدن.
تو این مشاوره امنیتی ، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA)، دفتر تحقیقات فدرال (FBI)، مرکز امنیت سایبری استرالیا (ACSC)، مرکز امنیت سایبری کانادا (CCCS)، مرکز امنیت سایبری ملی نیوزلند (NZ NCSC)، و مرکز امنیت سایبری ملی بریتانیا (NCSC-UK) حضور داشتند.
طبق این گزارش بازیگران تهدید اغلب سیستم هایی که از طریق اینترنت قابل دسترس هستند مانند سرورهای ایمیل و VPNها رو مورد نفوذ قرار دادن و اغلب به دلیل اینکه محققین و سایر بازیگران تهدید بعد از افشای آسیب پذیری PoC رو منتشر کردن ، اکسپلویت این آسیب پذیری ها روند سریع تری داشته.
همچنین تو این گزارش اومده که بازیگران تهدید بیشتر علاقمند به آسیب پذیری های جدید بودند و آسیب پذیری های شناخته شده یا قدیمی رو زیاد استفاده نکردن . این استفاده کردن از آسیب پذیری های قدیمی نشون میده که هنوز سازمانهایی از برنامه های قدیمی یا برنامه هایی که از آسیب پذیری های شناخته شده استفاده میکنن وجود داره و این دلیلش عدم مدیریت بروزسانی و ضعف در پچ کردن اون سازمانه و میتونه خطرات زیادی رو براش داشته باشه.
15 آسیب پذیری حیاتی در سال 2021
15 آسیب پذیری که بازیگران تهدید در سال 2021 از اون استفاده کردن به شرح زیر:
- آسیب پذیری با شناسه CVE-2021-44228 که با نام Log4Shell شناخته میشه و کتابخانه Log4j آپاچی که یک سیستم گزارش گیری اپن سورس هستش رو تحت تاثیر قرار میداد. با این آسیب پذیری ، بازیگران تهدید میتونستن روی سیستم کد دلخواه اجرا کنن و کنترل اون سستم رو بدست بیارن.
- آسیب پذیری با شناسه CVE-2021-40539 که روی Zoho ManageEngine ADSelfService Plus نسخه 6113 و قبل تر بود و امکان اجرای کد دلخواه رو به مهاجمین میداد.
- آسیب پذیری های با شناسه CVE-2021-34523 و CVE-2021-34473 و CVE-2021-31207 که با نام ProxyShell شناخته میشن و سرورهای ایمیل Microsoft Exchange رو تحت تاثیر قرار میداد. در صورت اکسپلویت موفقیت آمیز امکان اجرای کد رو به مهاجمین میداد.این آسیب پذیری در قسمت Microsoft Client Access Service (CAS) وجود داشت که معمولا در پورت 443 Microsoft Internet Information Services (IIS) اجرا میشه. CAS معمولاً از اینترنت قابل دسترس هستش تا کاربران بتونن از طریق دستگاه های تلفن همراه و مرورگرهای وب به ایمیل خود دسترسی داشته باشن.
- آسیب پذیری های با شناسه CVE-2021-27065 و CVE-2021-26858 و CVE-2021-26857 و CVE-2021-26855 که با نام ProxyLogon شناخته میشن و سرورهای ایمیل Microsoft Exchange رو تحت تاثیر قرار میداد. در صورت اکسپلویت موفقیت آمیز امکان اجرای کد، دسترسی به فایلها و صندوق ایمیل کاربران ، سرقت اعتبارنامه های سرورها رو میداد.
- آسیب پذیری با شناسه CVE-2021-26084 که Atlassian Confluence Server و Data Center تحت تاثیر قرار میده و امکان اجرای کد دلخواه رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2021-21972 که VMware vSphere Client رو تحت تاثیر قرار میده و امکان اجرای کد رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2020-1472 که با عنوان ZeroLogon هم شناخته میشه و Microsoft Netlogon Remote Protocol (MS-NRPC) رو تحت تاثیر قرار میده و امکان افزایش سطح دسترسی رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2020-0688 که Microsoft Exchange Server رو تحت تاثیر قرار میده و امکان اجرای کد رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2019-11510 که Pulse Secure Pulse Connect Secure رو تحت تاثیر قرار میده و امکان خوندن فایلهای دلخواه رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2018-13379 که Fortinet FortiOS and FortiProxy رو تحت تاثیر قرار میده و امکان دسترسی مهاجمین به فایلها و … رو میداد (Path traversal)
سه مورد از 15 آسیبپذیری اصلی که بهطور معمول مورد استفاده قرار گرفتهاند (CVE-2018-13379 و CVE-2020-1472 و CVE-2019-11510) در سال 2020 هم بهطور معمول مورد استفاده قرار گرفته بودن. ادامه استفاده از اونا نشون میده که بسیاری از سازمان ها در اصلاح به موقع نرم افزار ضعیف عمل کردن و در برابر عوامل مخرب سایبری آسیب پذیر موندن.
15 آسیب پذیری بالا ، بیشترین آسیب پذیری هایی بودن که بازیگران تهدید ازشون در سال 2021 استفاده کردن ، اما این آژانس های امنیتی علاوه بر موارد بالا چند آسیب پذیری دیگر هم لیست کردن که بازیگران تهدید ازشون در سال 2021 استفاده کردن اما نه به اندازیه 15 تای بالایی.
- آسیب پذیری با شناسه CVE-2021-42237 که Sitecore XP رو تحت تاثیر قرار میده و امکان اجرای کد رو به مهاجمین میداد.
- آسیب پذیری با شناسه CVE-2021-35464 که ForgeRock OpenAM server رو تحت تاثیر قرار میده و امکان اجرای کد رو به مهاجمین میده.
- آسیب پذیرهای با شناسه CVE-2021-27104 و CVE-2021-27102 از نوع OS command execution و CVE-2021-27103 از نوع Server-side request forgery و CVE-2021-27101 از نوع SQLinjection روی Accellion FTA
- آسیب پذیری با شناسه CVE-2021-21985 روی VMware vCenter Server که امکان اجرای کد رو به مهاجمین میده.
- آسیب پذیری با شناسه CVE-2021-20038 روی SonicWall Secure Mobile Access (SMA) که امکان اجرای کد رو به مهاجمین میده.
- آسیب پذیری با شناسه CVE-2021-40444 روی Microsoft MSHTML که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2021-34527 روی Microsoft Windows Print Spooler که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2021-3156 روی SUDO که امکان افزایش امتیاز به مهاجمین میده.
- آسیب پذیری با شناسه CVE-2021-27852 روی Checkbox Survey که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2021-22893 روی Pulse Secure Pulse Connect Secure که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2021-20016 روی SonicWall SSLVPN SMA100 که امکان اجرای دستورات SQL و سرقت اعتبارنامه ها رو میده.
- آسیب پذیری با شناسه CVE-2021-1675 روی Windows Print Spooler که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2020-2509 روی QNAP QTS and QuTS hero که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2019-19781 روی Citrix Application Delivery Controller (ADC) و Gateway که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2019-18935 روی Progress Telerik UI for ASP.NET AJAX که امکان اجرای کد رو میده.
- آسیب پذیری با شناسه CVE-2018-0171 روی Cisco IOS Software و IOS XE Software که امکان اجرای کد رو میده.
- آسیب پذیری های CVE-2017-11882 و CVE-2017-0199 روی Microsoft Office که امکان اجرای کد رو میده.
اقدامات کاهشی :
- از نسخه های بروز شده استفاده کنید.
- در صورتیکه شرکت سازنده پچی برای نرم افزار آسیب پذیر ارائه نداده ، از اقدامات کاهشی که اون شرکت ارائه داده استفاده کنید.
- آسیب پذیری ها رو براساس اولویتی که در بالا اشاره شده پچ کنید.
- از یک سیستم مدیریت پچ مناسب استفاده کنید.
- از نرم افزارهایی که دیگه پشتیبانی نمیشن استفاده نکنید.مثلا در لیست بالا Accellion FTA از سال 2021 دیگه پشتیبانی نمیشه.
- در صورتیکه سازمان قادر به اسکن و وصله کردن نیست از cloud service providers (CSPs) یا managed service providers (MSPs) استفاده کنن.
- استفاده از multifactor authentication (MFA) روی تمام حسابها بخصوص VPNها.
- در صورتیکه امکان فعال کردن MFA را ندارید از پسوردهای قوی استفاده کنید.
- بصورت مرتب حسابهایی که دارای امتیاز بالا هستند رو بررسی کنید.
- حسابها را براساس حداقل دسترسی پیکربندی کنید.
- حسابهای دسترسی نرم افزارها را به درستی پیکربندی کنید.
- دستگاههای مرتبط با شبکه و اینترنت را به درستی پیکربندی کنید .
- اگه سرویس یا ابزار یا دستگاه غیر ضروری دارید اونو حذف کنید.
- استفاده ار امن سازی و رمزگذاری روی ترافیک شبکه.
- امن سازی یا نظارت پروتکل هایی که اغلب توسط مهاجمین استفاده میشود مانند LLMNR و RDP و CIFS
- روی شبکه نظارت داشته باشید تا بتونید حرکات جانبی را رصد کنید.
- پیاده سازی allowlisting برای برنامه ها
در صورتیکه سازمان یا شرکت شما از نرم افزارهای آسیب پذیر بالا استفاده میکنه یا دارای آسیب پذیری های بالا بخصوص آسیب پذیری های حیاتی هست میتونه با استفاده از این بخش گزارش روش های پچ کردن و رفع آسیب پذیری رو مشاهده کنه.