بازیگران تهدید در سال 2023، از چه اکسپلویتهایی بیشتر استفاده کردن؟

زمان مطالعه: 5 دقیقه

آژانسهای امنیتی FBI، NSA و مقامات در Five Eyes گزارشی منتشر کردن در خصوص 15 آسیب پذیری برتری که در سال 2023 توسط بازیگران تهدید مورد استفاده قرار گرفتن. بیشتر این اکسپلویتها، در ابتدا بصورت زیرودی مورد استفاده قرار گرفتن.

در این گزارش از سازمانها و شرکتهای سراسر دنیا، خواسته شده تا این آسیب پذیری ها رو در سیستمهاشون اصلاح کنن تا هدف بازیگران تهدید قرار نگیرن.

طبق این گزارش، بازیگران تهدید در سال 2023، نسبت به سال 2022، از زیرودی های بیشتری استفاده کردن. همچنین چندین مورد از آسیب پذیری های سالهای قبل هم مورد استفاده قرار گرفته که نشون میده سازمانها و شرکتها در اصلاح این آسیب پذیریها، توجه زیادی نداشتن.

جدول زیر 15 آسیب پذیری برتری که در سال 2023 بصورت معمول، توسط بازیگران تهدید مورد استفاده قرار گرفته رو نشون میده:

Error
One or more columns doesn't have a header. Please enter headers for all columns in order to proceed.

علاوه بر لیست بالا، آژانس های امنیتی یک لیست دیگه ای رو هم منتشر کردن. این لیست، که تعداشون 32 مورد هستش، آسیب پذیری هایی رو نشون میده که باز بیشتر مورد توجه بازیگران تهدید قرار گرفتن. البته لیست بالا موارد رایج هستش و لیست پایینی، لیست دوم آسیب پذیری های رایج هستش.

ردیف	شناسه	سازنده	محصولات تحت تاثیر	نوع	CWE
1	CVE-2023-22518	Atlassian	همه ی نسخه های Confluence Data Center and Server	Improper Authorization	CWE-863: Incorrect Authorization
2	CVE-2023- 29492	Novi	Novi Survey	Insecure Deserialization	CWE-94: Code Injection
3	CVE-2021-27860	FatPipe	WARP, MPVPN, IPVPN 10.1.2 and 10.2.2	Configuration Upload Exploit	CWE-434: Unrestricted Upload of File with Dangerous Type
4	CVE-2021-40539	Zoho	ManageEngine ADSelfService Plus builds up to 6113	Authentication Bypass	CWE-706: Use of Incorrectly-Resolved Name or Reference
5	CVE-2023-0669	Fortra	GoAnywhere versions 2.3 through 7.1.2	RCE	CWE-502: Deserialization of Untrusted Data
6	CVE-2021-22986	F5	BIG-IP versions: 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 and BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2	RCE	CWE-918: SSRF
7	CVE-2019-0708	Microsoft	Remote Desktop Services	RCE	CWE-416: Use After Free
8	CVE-2018-13379	Fortinet	FortiOS and FortiProxy 2.0.2, 2.0.1, 2.0.0, 1.2.8, 1.2.7, 1.2.6, 1.2.5, 1.2.4, 1.2.3, 1.2.2, 1.2.1, 1.2.0, 1.1.6	Path Traversal	CWE-22: Path Traversal
9	CVE-2022-31199	Netwrix	Auditor	Insecure Object Deserialization	CWE-502: Deserialization of Untrusted Data
10	CVE-2023-35078	Ivanti	All supported versions of Endpoint Manager Mobile (EPMM), including: Version 11.4 releases 11.10, 11.9 and 11.8	Authentication Bypass	CWE-287: Improper Authentication
11	CVE-2023-35081	Ivanti	All supported versions of Endpoint Manager Mobile (EPMM), including 11.10, 11.9 and 11.8	Path Traversal	CWE-22: Path Traversal
12	CVE-2023-44487	N/A	HTTP/2	Rapid Reset Attack	CWE-400: Uncontrolled Resource Consumption
13	CVE-2023-36844	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	External Variable Modification	CWE-473: PHP External Variable Modification
14	CVE-2023-36845	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	External Variable Modification	CWE-473: PHP External Variable Modification
15	CVE-2023-36846	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	Missing Authentication for Critical Function	CWE-306: Missing Authentication for Critical Function
16	CVE-2023-36847	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	Missing Authentication for Critical Function	CWE-306: Missing Authentication for Critical Function
17	CVE-2023-41064	Apple	Versions prior to: iOS 16.6.1 and iPadOS 16.6.1, macOS Monterey 12.6.9, macOS Ventura 13.5.2, iOS 15.7.9 and iPadOS 15.7.9, macOS Big Sur 11.7.10	Buffer Overflow	CWE-120: Classic Buffer Overflow
18	CVE-2023-41061	Apple	Versions prior to: watchOS 9.6.2, iOS 16.6.1 and iPadOS 16.6.1	Code Execution	CWE-20 Improper Input Validation
19	CVE-2021-22205	GitLab	All versions starting from 11.9	RCE	CWE-94: Code Injection
20	CVE-2019-11510	Ivanti	Pulse Secure Pulse Connect Secure versions, 9.0R1 to 9.0R3.3, 8.3R1 to 8.3R7, and 8.2R1 to 8.2R12	Arbitrary File Read	CWE-22: Path Traversal
21	CVE-2023-6448	Unitronics	VisiLogic versions before 9.9.00	Insecure Default Password	CWE-798: Use of Hard-coded CredentialsCWE-1188: Initialization of a Resource with an Insecure Default
22	CVE-2017-6742	Cisco	Simple Network Management Protocol subsystem of Cisco IOS 12.0 through 12.4 and 15.0 through 15.6 and IOS XE 2.2 through 3.17	RCE	CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
23	CVE-2021-4034	Red Hat	Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux 8 Red Hat Virtualization 4 Any Red Hat product supported on Red Hat Enterprise Linux (including RHEL CoreOS) is also potentially impacted.	Out-of-Bounds Read and Write	CWE-125: Out-of-bounds ReadCWE-787: Out-of-bounds Write
24	CVE-2021-26084	Atlassian	Confluence Server and Data Center, versions 6.13.23, from version 6.14.0 before 7.4.11, from version 7.5.0 before 7.11.6, and from version 7.12.0 before 7.12.5.	Object-Graph Navigation Language (OGNL) Injection	CWE-917: Expression Language Injection
25	CVE-2021-33044	Dahua	محصولات مختلف	Authentication Bypass	CWE-287: Improper Authentication
26	CVE-2021-33045	Dahua	محصولات مختلف	Authentication Bypass	CWE-287: Improper Authentication
27	CVE-2022-3236	Sophos	Sophos Firewall v19.0 MR1 (19.0.1) and older	Code Injection	CWE-94: Code Injection
28	CVE-2022-26134	Atlassian	Confluence Server and Data Center, versions: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1	RCE	CWE-917: Expression Language Injection
29	CVE-2022-41040	Microsoft	Microsoft Exchange servers	SSRF	CWE-918: SSRF
30	CVE-2023-38831	RARLAB	WinRAR Versions prior to 6.23 Beta 1	Code Execution	CWE-345: Insufficient Verification of Data AuthenticityCWE-351: Insufficient Type Distinction
31	CVE-2019-18935	Progress Telerik	Progress Telerik UI for ASP.NET AJAX Telerik.Web.UI.dll	Deserialization of Untrusted Data	CWE-502: Deserialization of Untrusted Data
32	CVE-2021-34473	Microsoft	Exchange Server, Multiple Versions: Q1 2011 (2011.1.315) to R2 2017 SP1 (2017.2.621) R2 2017 SP2 (2017.2.711) to R3 2019 (2019.3.917) R3 2019 SP1 (2019.3.1023) R1 2020 (2020.1.114) and later	RCE	CWE-918: SSRF

اقدامات کاهشی :

توسعه دهندگان و سازندگان:

آسیب پذیری هایی که بصورت مکرر اکسپلویت میشن رو شناسایی کنید.
- برای این کار آنالیزی روی CVE و KEV انجام بدید تا بدونید، کدوم کلاس از آسیب پذیری ها، بیشتر شناسایی میشن.
- اقدامات کاهشی موثر که منجر به حذف اون کلاس از آسیب پذیری ها میشه رو اعمال کنید.
اطمینان حاصل کنید که رهبران کسب و کار مسئول امنیت هستن:
- رهبران کسب و کار باید اطمینان حاصل کنن که تیمشون اقدامات پیشگیرانه‌ای رو برای حذف کل دسته‌ های آسیب‌پذیری‌ها انجام دادن، به جای اینکه فقط وصله‌های یکبار مصرف رو هنگام کشف آسیب‌پذیریهای جدید ایجاد کنن.
از SP 800-218 SSDF پیروی کنید و شیوه های امن طراحی رو در هر مرحله از چرخه عمر توسعه نرم‌افزار (SDLC) اجرا کنید. بطور خاص، هدف، انجام توصیه‌های SSDF زیر است:
- هر جا که امکانپذیر هستش از زبانهای ایمنی حافظه استفاده کنید. [SSDF PW 6.1]
- هنگام انتخاب مولفه های نرم افزاری مانند کتابخونه ها، مطمئن بشید که از امنیت قوی برخوردار باشن. [SSDF PW 4.1]
- شیوه های امن تیم توسعه نرم‌افزار رو راه‌اندازی کنید. [SSDF PW.5.1, PW.7.1, PW.7.2]
- یک برنامه افشای آسیب پذیری برای تایید و رفع آسیب پذیری هایی که توسط افراد داخل یا خارج سازمان ارائه میشه، ایجاد کنید. [SSDF RV.1.3]
- از ابزارهای تست امنیت برنامه‌های کاربردی استاتیک و داینامیک (SAST/DAST) برای آنالیز سورس کد و رفتار برنامه، برای شناسایی شیوه های مستعد خطا استفاده کنید. [SSDF PW.7.2, PW.8.2]
محصولات آماده تولید رو برای داشتن امن ترین تنظیمات پیش فرض، پیکربندی کنید و راهنمایی در مورد خطرات تغییر هر تنظیم رو ارائه بدید. [SSDF PW.9.1, PW9.2]
اطمینان حاصل کنید که CVE های منتشر شده شامل فیلد CWE مناسب برای شناسایی علت آسیب پذیری باشن تا امکان آنالیز امنیت نرم افزار و نقص های طراحی در کل صنعت فراهم بشه.

سازمانهای کاربر نهایی:

مدیریت پیکربندی و آسیب پذیری:

بروزرسانی نرم افزار، سیستم عامل، برنامه و فریمورها روی دارایی های شبکه فناوری اطلاعات [CPG 1.E]:
- اولویت رو روی KEVها، بعدش CVEهای بحرانی و شدت بالا که امکان اجرای کد از راه دور و منع سرویس در سیستمهای رو به اینترنت رو فراهم میکنن، قرار بدید.
- اگه اصلاحیه برای یک KEV، سریعا قابل دسترس نبود، از اقدامات کاهشی که سازنده معرفی کرده استفاده کنید.
- نرم افزارهایی که به پایان عمرشون رسیدن و دیگه پشتیبانی نمیشن رو جایگزین کنید.
بصورت دوره ای و خودکار، شناسایی دارایی ها رو انجام بدید و اونا رو لیست کنید.
یک فرایند مدیریت وصله قوی و متمرکز، برای ایجاد یک برنامه اولویت دار اصلاحیه ها ایجاد کنید. [CPG 1.A]
- اگه سازمانی قادر به اسکن سریع و اصلاح سیستمهای رو به اینترنت نیست، این سیستمهارو به ارائه دهندگان سرویسهای ابری (CSP) یا سایر ارائه دهندگان سرویسهای مدیریت شده (MSP) انتقال بدن.
- MSPهای معتبر میتونن برنامه‌های کاربردی (مانند ایمیل وب، ذخیره‌سازی فایل، اشتراک‌گذاری فایل، چت و سایر ابزارهای همکاری کارکنان) رو برای مشتریان خودشون بصورت خودکار اصلاح کنن.
- MSPها و CSPها میتونن سطح حمله‌ی مشتریشون رو گسترده کنن و ممکن ریسکهای پیش‌بینی‌نشده‌ای ایجاد کنن، بنابراین سازمانها باید بطور پیش‌فعالانه با ارائه‌دهندگان خدمات مدیریت‌شده و ارائه‌دهندگان خدمات ابری خودشون، برای کاهش مشترک ریسکها همکاری کنن.
مستندسازی پیکربندی‌های بنیادی امن برای تمام اجزای فناوری اطلاعات/فناوری عملیاتی، از جمله زیرساخت ابری.
- هرگونه انحراف از پیکربندی بنیادی امن اولیه رو مونیتور، بررسی و مستند کنید. [CPG 2.O]
پشتیبان‌گیری منظم از سیستم‌های امن رو انجام بدید و برای تعمیر و/یا بازیابی، کپی های مطمئن، از تمام پیکربندیهای دستگاه، ایجاد کنید.
- این کپی‌ها رو به‌صورت آفلاین در مکانهای فیزیکی امن ذخیره کنید و بطور منظم اونارو تست کنید.[CPG 2.R]
یک برنامه‌ی پاسخ به حوادث امنیت سایبری بروز رو ایجاد کنید که حداقل سالانه تست بشه و در یک بازه‌ی زمانی مبتنی بر ریسک بروزرسانی بشه تا اثربخشی اون تضمین بشه. [CPG 2.S]

مدیریت هویت و دسترسی:

اجرای احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ برای همه کاربران بدون استثنا [CPG 2.H]
- اجرای MFA بر روی تمام اتصالات VPN.
- اگه MFA در دسترس نیست، از کارمندان راه دور بخواید از رمزهای عبور قوی استفاده کنن. [CPG 2.A, 2.B, 2.C, 2.D, 2.G]
بصورت دوره‌ای اکانتهای بدون امتیاز رو بررسی، تأیید یا حذف کنید (حداقل سالانه) [CPG 2.D, 2.E]
کنترل دسترسی رو تحت اصل حداقل امتیاز پیکربندی کنید. [CPG 2.O]
- مطمئن بشید که اکانتهای سرویس نرم‌افزاری فقط مجوزهای لازم، برای انجام عملکردهای مورد نظر (با استفاده از امتیازات غیرمدیریتی در صورت امکان) ارائه میدن. برای اطلاعات بیشتر میتونید از این راهنما استفاده کنید.

کنترلهای محافطتی و معماری:

پیکربندی و ایمن‌ سازی صحیح دستگاههای شبکه رو به اینترنت، غیرفعال کردن پورتها و پروتکلهای شبکه‌ی بلااستفاده یا غیرضروری، رمزگذاری ترافیک شبکه، و غیرفعال کردن سرویسها و دستگاههای شبکه‌ی بلااستفاده [CPG 2.V, 2.W, 2.X].
- هاردنینگ سرویس‌های شبکه‌ی سازمانی که معمولاً اکسپلویت میشن، از جمله: پروتکل LLMNR، پروتکل RDP، سیستم فایل اینترنتی مشترک (CIFS)، Active Directory، و OpenLDAP.
- مدیریت اکانتهای Windows Key Distribution Center (KDC) (مانند KRBTGT) برای به حداقل رسوندن حملات Golden Ticket و Kerberoasting.
- کنترل دقیق استفاده از برنامه‌های اسکریپت‌نویسی داخلی مانند خط فرمان، PowerShell، WinRM، WMI و DCOM.
پیاده‌سازی Zero Trust Network Architecture (ZTNA) برای محدود کردن یا مسدود کردن حرکت جانبی با کنترل دسترسی به برنامه‌ها، دستگاه‌ها و پایگاه‌های داده. استفاده از شبکه‌های محلی مجازی خصوصی (private virtual local area networks) [CPG 2.F, 2.X]. برای کسب اطلاعات بیشتر این راهنما رو مطالعه کنید.
مونیتورینگ مداوم سطح حمله و بررسی فعالیتهای غیرعادی که ممکن نشون‌ دهنده حرکت جانبی بازیگر سایبری یا بدافزار باشه [CPG 2.T].
- استفاده از ابزارهای امنیتی مانند EDR و SIEM.
- در نظر گرفتن استفاده از یک راه‌حل information technology asset management (ITAM) برای اطمینان از اینکه EDR، SIEM، اسکنرهای آسیب‌پذیری و سایر ابزارهای مشابه تعداد یکسانی از دارایی‌ ها رو گزارش میدن [CPG 2.T, 2.V].
- استفاده از WAF برای مونیتورینگ و فیلتر کردن ترافیک وب.
این ابزارها از طریق راه‌حل‌های سخت‌افزاری، نرم‌افزاری و مبتنی بر ابر در دسترس هستن و ممکن تلاشهای اکسپلویت رو تشخیص و کاهش بدن، جایی که یک بازیگر تهدید یک درخواست وب مخرب رو به یک دستگاه اصلاح نشده ارسال میکنه [CPG 2.B, 2.F].
پیاده‌سازی یک سیاست مدیریتی و/یا فرآیند خودکار پیکربندی‌ شده برای مونیتورینگ سخت‌افزار، نرم‌افزار یا برنامه‌های ناخواسته در برابر یک لیست مجاز با نسخه‌های مشخص و تأییدشده [CPG 2.Q].

امنیت زنجیره تامین:

کاهش برنامه‌های کاربردی شخص ثالث و ساختهای منحصر به فرد سیستم/برنامه .
- فقط در صورت نیاز برای پشتیبانی از عملکردهای حیاتی کسب‌وکار، استثنا قائل بشید[CPG 2.Q].
- مطمئن بشید که قراردادها از فروشندگان و/یا ارائه‌دهندگان خدمات شخص ثالث میخوان که:
  - در یک بازه‌ی زمانی مبتنی بر ریسک، حوادث و آسیب‌پذیریهای امنیتی رو اطلاع بدن [CPG 1.G, 1.H, 1.I].
  - برای بهبود نظارت بر آسیب‌پذیری و کمک به کاهش زمان پاسخگویی به آسیب‌پذیریهای شناسایی‌شده، یک Software Bill of Materials (SBOM) با همه محصولات ارائه کنن [CPG 4.B].
از ارائه دهندگان نرم‌افزار خودتون بخوایید در مورد برنامه طراحی ایمن شون صحبت کنن، لینکهایی به اطلاعاتی در مورد نحوه تلاش اونا برای حذف کلاس های آسیب‌پذیری و تنظیم پیکربندیهای پیش‌فرض امن ارائه بدن.

منبع

اقدامات کاهشی :

توسعه دهندگان و سازندگان:

سازمانهای کاربر نهایی:

مدیریت پیکربندی و آسیب پذیری:

مدیریت هویت و دسترسی:

کنترلهای محافطتی و معماری:

امنیت زنجیره تامین:

دیدگاهتان را بنویسید لغو پاسخ

پست های مرتبط

چالش هک خودروهای هیوندا و کیا

نسخه وردپرس آسیب پذیر برای ژوئن 2023 منتشر شد

کمپین هک اکانتهای لینکدین

بروزرسانی امنیتی 24 جولای اپل (2 مرداد)