A ISH Tecnologia, referência nacional em cibersegurança, divulga uma lista com as 15 vulnerabilidades mais exploradas por criminosos em 2022.
Na área da segurança cibernética, entende-se “vulnerabilidade” como uma fraqueza que pode ser explorada para obter acesso não autorizado a determinado sistema. Isso leva a potenciais execuções de códigos maliciosos, envios de malwares e exfiltração de dados.
Confira a lista completa, com uma breve descrição da vulnerabilidade e o programa ou sistema que afeta:
ProxyLogon — Afeta as versões de 2013, 2016 e 2019 do Microsoft Exchange, aplicação servidora de e-mails. Por meio dela, permite que o atacante ignore a autenticação e, assim, se passe por um administrador. Lidera o ranking principalmente pela falta de atualizações na infraestrutura interna do programa.
ZeroLogon — Consiste em uma falha criptográfica no processo de login que, ao ser aproveitada, permite ao invasor se conectar com protocolos remotos de logon de rede.
Log4Shell — Afeta a biblioteca Apache Java, sendo também conhecida como Log4j. Esta biblioteca é utilizada por muitas aplicações da web e por desenvolvedores de software, sendo por esse motivo constantemente aproveitada por cibercriminosos.
VMware vSphere Client — Atinge o VMware vSphere, programa de virtualização para nuvem. Serve como “trampolim” para o invasor, dando a ele possibilidade de, pela execução remota de códigos, acessar toda a infraestrutura da organização.
PetitPotam — Presente em servidores Windows que não estão configurados com proteção contra ataques de retransmissão do tipo NTLM. Permite a autenticação forçada do servidor, realizando então a personificação de usuários e a interceptação de tráfego.
Zoho ManageEngine ADSelfService — Solução de gerenciamento e redefinição de senha para autenticação única do usuário final. Por meio de sua vulnerabilidade, invasores podem criear URLs que burlam a autenticação, que é validada incorretamente. A partir disso, podem explorar comandos como execução remota de códigos.
ProxyShell — Consiste em três falhas separadas, também do Microsoft Exchange. Semelhante ao ProxyLogon, permite, quando utilizada em ambientes exposto, controle total dos servidores de e-mail por meio de comandos maliciosos do PowerShell.
Atlassian Confluence Server & Data Center — O programa é uma solução autogerenciada que oferece às organizações opções de configuração para atender às demandas de colaboração de diferentes equipes. A vulnerabilidade permite que usuários não autenticados realizem execuções de códigos em todas as instâncias do programa.
Pulse Secure VPN — Essa falha no programa de conexão segura em reuniões remotas e de transferência de dados permite que os invasores cibernéticos consigam acesso à toda a rede das vítimas afetadas. Isso é feito pelo envio de um código especialmente criado para executar leitura arbitrária de arquivos.
Fortinet FortiOS e FortiProxy — Vulnerabilidade no portal da web FortiProxy SSL VPN, permitindo que o invasor remoto baixe arquivos do sistema FortiProxy por meio de solicitações de recursos HTTP criadas.
Folina — Encontrada dentro da ferramenta de Diagnóstico de Suporte do Microsoft Windows. Atinge principalmente programas do Office, como o Word, o criminoso pode explorar a vulnerabilidade executando código arbitrário com os privilégios do aplicativo de chamada.
Spring4Shell — Afeta o Spring, estrutura de código aberto da plataforma Java (JDK 9+). Permite execução de códigos de maneira remota.
F5 BIG-IP — Permite que invasores não autenticados com acessos de rede ao sistema BIG-IP executem comandos remotos, entre os quais estão a criação e exclusão de arquivos, e mesmo a desabilitação total de serviços.
Google Chrome — Por meio de uma página HTML criada, realiza a corrupção do heap, local da memória do navegador para alocar objetos muito grandes. Foi a nona vulnerabilidade zero day identificada no Chrome em 2022.
Zimbra Collaboration Suite Bugs –. Um usuário erroneamente identificado como administrador pode, por meio da vulnerabilidade, fazer upload de arquivos maliciosos ao sistema, por meio da funcionalidade mboximport recebendo um arquivo ZIP e também permite que um criminoso realize o upload de arquivos arbitrários por meio do amavisd.
Top 10 grupos de ransomwares
O mesmo relatório da ISH também traz um levantamento com os dez grupos de ransomware mais envolvidos em ataques no mundo em 2022. Somados, os grupos, que possuem origens e estratégias de ataque diferentes, estiveram envolvidos em 3377 incidentes.
O grupo Lockbit lidera a lista e, interessantemente, com quase o dobro de incidentes registrados em relação ao segundo colocado. Confira, com a quantidade de ataques de cada um:
1° – Lockbit – 1261
2° – Conti – 674
3° – PYSA — 307
4° – Revil -249
5° – BlackCat – 222
6° – HiveLeaks – 204
7° – Vice Society – 127
8° – CLOP – 122
9° – AvosLocker – 106
10° – Everest – 105
Além disso, a empresa contabilizou, por meio de pesquisa em fontes abertas, 4323 postagens relacionadas a vazamentos de dados em todo o mundo no ano.
Como se proteger
A equipe da ISH ressalta que grupos como estes costumam se aproveitar de vulnerabilidades antigas que nunca são corrigidas. Até mesmo pelo ponto de vista do cibercriminoso, explorar brechas velhas é muito menos trabalhoso e mais viável do que uma falha nova, ou as conhecidas como “zero day”.
A ISH lista quatro dicas primordiais para aumentar a segurança, contra ransowmares e outros tipos de ataques digitais:
– Utilizar algum método de segundo fator de autenticação para todas as contas utilizadas na organização. Exemplos da autenticação desse tipo são os códigos numéricos e/ou solicitação de digital de serviços de streaming e financeiros, entre outros. Com seu uso, um cibercriminoso que consegue a senha de um funcionário (por força bruta ou hacking) não tem acesso aos sistemas da vítima, sendo necessária outra credencial.
– Adotar as principais ferramentas de segurança disponibilizadas no mercado, como programas de firewall, anti-malware e proteção de endpoints, visando proteger o perímetro de todos os dispositivos ligados à empresa.
– Atualizar sempre que possível hardwares e softwares. Na maioria das vezes, as vulnerabilidades antigas utilizadas por cibercriminosos para invasões já foram corrigidas pela empresa desenvolvedora, só nunca foram baixadas.
– Fazer constantemente backups dos dados, e testá-los. Em caso de um incidente de vazamento, as informações mais importantes da empresa estão em um lugar seguro, e o trabalho não precisa ser interrompido até que o valor de resgate seja pago.