Hackers procuram por dispositivos vulneráveis minutos após a divulgação de bug
A cada hora, um agente de ameaça inicia uma nova varredura na web pública em busca de sistemas vulneráveis, movendo-se em um ritmo mais rápido do que as empresas globais ao tentar identificar vulnerabilidades graves em suas redes.
Os esforços dos adversários aumentam significativamente quando vulnerabilidades críticas surgem, com novas varreduras em toda a Internet ocorrendo poucos minutos após a divulgação.
Cuidado com o vão
Os atacantes são incansáveis em sua busca por novas vítimas e se esforçam para vencer a corrida para sistemas vulneráveis corrigidos. Embora as empresas se esforcem para identificar problemas em suas redes antes que seja tarde demais, elas se movem a uma taxa muito menor.
Os dados vêm da equipe de pesquisa da Palo Alto Networks Cortex Xpanse, que entre janeiro e março deste ano monitorou varreduras de 50 milhões de endereços IP de 50 empresas globais, algumas delas na Fortune 500.
Os pesquisadores descobriram que as empresas levam em média 12 horas para encontrar uma vulnerabilidade nova e séria. Quase um terço de todos os problemas identificados relacionados ao Protocolo de Área de Trabalho Remota, um alvo comum para agentes de ransomware, pois podem usá-lo para obter acesso de administrador aos servidores.
Servidores de banco de dados mal configurados, vulnerabilidades de dia zero em produtos críticos de fornecedores como Microsoft e F5 e acesso remoto inseguro (Telnet, SNMP, VNC) completam a lista de falhas de alta prioridade.
De acordo com a Palo Alto Networks , as empresas identificaram um desses problemas a cada 12 horas, em forte contraste com o tempo médio de inventário dos atores da ameaça de apenas uma hora.
Em alguns casos, porém, os adversários aumentaram a frequência de varredura para 15 minutos quando surgiram notícias sobre um bug crítico explorável remotamente em um dispositivo de rede; e a taxa caiu para cinco minutos após a divulgação dos bugs do ProxyLogon nos problemas do Microsoft Exchange Server e Outlook Web Access (OWA).
A Palo Alto Networks recomenda que as equipes de segurança examinem a seguinte lista de serviços e sistemas para limitar a superfície de ataque.
Os pesquisadores observam que compilaram a lista com base em dois princípios: certas coisas não devem ser expostas à web pública (protocolos ruins, portais de administração, VPNs) e ativos seguros podem se tornar vulneráveis com o tempo.
- Serviços de acesso remoto (por exemplo, RDP, VNC, TeamViewer)
- Serviços de compartilhamento / troca de arquivos inseguros (por exemplo, SMB, NetBIOS)
- Sistemas sem patch vulneráveis a sistemas públicos de exploração e fim de vida (EOL)
- Portais de sistema de administração de TI 5. Aplicativos confidenciais de operação de negócios (por exemplo, Jenkins, Grafana, Tableau)
- Logins não criptografados e protocolos de texto (por exemplo, Telnet, SMTP, FTP)
- Dispositivos de Internet das Coisas (IoT) diretamente expostos
- Criptografia fraca e insegura / obsoleta
- Infraestrutura de desenvolvimento exposta
- Portais de marketing inseguros ou abandonados (que tendem a ser executados em Adobe Flash)
Por que as empresas ficam para trás
Uma explicação para esse atraso na identificação dos riscos na rede é um processo de gerenciamento de vulnerabilidades com falha que depende de um banco de dados de vulnerabilidades conhecidas.
Os scanners que usam este banco de dados não encontrarão novos problemas até que o banco de dados receba uma atualização, o que pode vir com um atraso de horas ou mesmo dias. Além disso, os scanners não veem todos os dispositivos da rede.
“Normalmente, a descoberta de ativos acontece apenas uma vez por trimestre e usa uma colcha de retalhos de scripts e programas que os pen-testers criaram para encontrar parte da infraestrutura que é potencialmente vulnerável. No entanto, seus métodos raramente são abrangentes e regularmente falham em encontrar todas as infraestruturas vulneráveis de uma determinada organização ”- Palo Alto Networks
Na outra extremidade, os invasores tiram proveito do poder da computação em nuvem barata que os permite executar varreduras em toda a Internet.
Atualmente, escanear a Internet não está mais restrito a atores bem financiados. A tecnologia de nuvem tornou possível configurar uma infraestrutura que pode “falar” por meio de um par de protocolo de porta com cada dispositivo na face pública da web em apenas 45 minutos.