CISA

To år gammel sårbarhet er blant dem som utnyttes aller mest i cyberangrep

Flere av de mest utnyttede sårbarhetene burde ha blitt fjernet av alle for flere år siden.

Trusselaktørene trives godt med å utnytte gamle sårbarheter i mye brukte IT-løsninger. Det er både enkelt, billig og relativt risikofritt.
Trusselaktørene trives godt med å utnytte gamle sårbarheter i mye brukte IT-løsninger. Det er både enkelt, billig og relativt risikofritt. Illustrasjonsfoto: Colourbox
Harald BrombachHarald BrombachNyhetsleder
30. juli 2021 - 19:00

Sårbarhetene som blir mest utnyttet i angrep er sjelden de som ble offentlig kjent for bare noen uker siden, selv om angripere også kan være svært raske til å lage angrepskode som utnytter sårbarheter som nettopp har blitt kjent.

En ny rapport som er utgitt av U.S. Cybersecurity and Infrastructure
Security Agency (CISA), FBI, Australian Cyber Security Centre (ACSC) og britiske National
Cyber Security Centre (NCSC) gir en oversikt over sårbarhetene som i størst skal være utnyttet av ondsinnede cyberaktører i 2020 og så langt i år.

Det kan være nødvendig å installere sikkerhetsfikser til SAP-systemer innen temmelig få dager for å være noenlunde sikker på at sårbarhetene  ikke skal bli utnyttet.  Bildet har for øvrig ingenting med SAP å gjøre.
Les også

Når SAP kommer med sikkerhetsfikser, haster det ofte med å installere dem

Gamle sårbarheter utnyttes fortsatt hyppig

Tabellen nedenfor lister de mest benyttede sårbarhetene i 2020. Mange av disse utnyttes også hyppig i år. Som en ser av CVE-identifikatoren (Common Vulnerabilities and Exposures), består listen kun av sårbarheter som har vært kjente lenge, og som kan fjernes dersom sikkerhetsoppdateringer eller nyere versjoner installeres av kundene. Dersom lapping av sårbarhetene ikke er mulig, må kundene ta i bruk andre midler for å redusere faren for angrep.

Ifølge rapporten mener de fire organisasjonene av trusselaktørene trolig vil fortsette å utnytte gamle og velkjente sårbarheter så lenge de fortsatt er effektive og systemene ikke patches. 

– Motstandernes bruk av kjente sårbarheter kompliserer identifiseringen av aktørene, reduserer kostnader og minimaliserer risiko fordi motstanderne ikke investerer i å utvikle nulldags-angrepskode for sin egen, eksklusive bruk, som de risikerer å miste dersom den blir kjent, heter det i rapporten.

Leverandør

CVE

Type

Citrix

CVE-2019-19781

kjøring av vilkårlig kode

Pulse

CVE 2019-11510

lesing av vilkårlig fil

Fortinet

CVE 2018-13379

filsti-traversering

F5- Big IP

CVE 2020-5902

fjernkjøring av kode (RCE)

MobileIron

CVE 2020-15505

RCE

Microsoft

CVE-2017-11882

RCE

Atlassian

CVE-2019-11580

RCE

Drupal

CVE-2018-7600

RCE

Telerik

CVE 2019-18935

RCE

Microsoft

CVE-2019-0604

RCE

Microsoft

CVE-2020-0787

forhøyede privilegier

Netlogon

CVE-2020-1472

forhøyede privilegier

Verstingen

De fire organisasjonene mener at sårbarheten CVE-2019-19781 var den som ble mest utnyttet av alle i angrep i fjor. Den ble oppdaget i Citrix Application Delivery Controller (ADC) i 2019. ADC er et lastbalanseringsverktøy som i alle fall er utbredt i USA. Ifølge rapporten er sårbarheten trolig en favoritt blant trusselaktørene fordi den er enkel å utnytte, at produktet brukes av mange virksomheter og at utnyttelse av sårbarheten gjør det mulig for angriperne å kjøre uautorisert kode på systemet. 

Det globale trusselnivået er definitivt hevet, konkluderer ny rapport med.
Les også

Ny rapport: Nesten alle virksomheter venter alvorlige cyberangrep de neste 12 månedene

Også nyere sårbarheter

I tillegg til de nevnte sårbarhetene, er det en rekke sårbarheter som først i år har blitt rutinemessig utnyttet i angrep:

  • Microsoft Exchange: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE2021-27065
  • Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 og CVE-2021-22900
  • Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
  • VMware: CVE-2021-21985
  • Fortinet: CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591

De fleste av sårbarhetene har blitt oppdaget i år. Unntaket er de tre Fortinet-relaterte sårbarhetene som alle ble oppdaget i 2020 eller tidligere. Flere av de berørte produktene brukes i ytterkanten av virksomhetenes IT-infrastruktur. 

De fire organisasjonene som står bak rapporten anbefaler at virksomheter nå prioriterer å lappe samtlige av de nevnte sårbarhetene, siden de utgjør en spesielt høy risiko for å bli utnyttet i angrep. 

Fjernarbeid har økt byrden

Ifølge rapporten preges listen over de mest utnyttede sårbarhetene av en del av sårbarhetene nå er mer aktuelle å utnytte fordi de eksisterer i løsninger som i større grad har blitt tatt i bruk under covid-19-pandemien, hvor mange jobber fra andre steder enn det vanlige kontoret. Dette inkluderer sårbarheter i VPN-tjenester.

Ifølge rapporten øker dette byrden til dem som sliter med å opprettholde takten under vedlikehold og rutinemessig programvarepatching. 

Google og Microsoft har flest sårbarheter, ifølge en ny rapport.
Les også

Ny rapport: – Disse teknologiselskapene har flest sårbarheter

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.