Mais de 15 milhões de serviços públicos estão suscetíveis a pelo menos uma das 896 vulnerabilidades listadas no catálogo KEV (vulnerabilidades conhecidas e exploráveis) da CISA.
Esse número foi divulgado pela empresa de cibersegurança Rezilion, que conduziu uma pesquisa em larga escala para identificar sistemas vulneráveis expostos a ataques cibernéticos de atores ameaçadores, sejam eles patrocinados pelo estado ou por grupos de ransomware.
Os achados da Rezilion são particularmente preocupantes porque as vulnerabilidades examinadas são conhecidas e destacadas no catálogo KEV da CISA como ativamente exploradas por hackers.
Portanto, qualquer atraso em sua correção mantém uma grande superfície de ataque, dando aos atores ameaçadores inúmeras possibilidades de alvos.
A Rezilion usou o serviço de varredura da web Shodan para encontrar pontos finais que ainda são vulneráveis aos CVEs adicionados ao Catálogo de Vulnerabilidades Conhecidas e Exploráveis da CISA.
Usando essas consultas de pesquisa personalizadas, os pesquisadores encontraram 15 milhões de instâncias vulneráveis a 200 CVEs do catálogo.
Mais da metade dessas 7 milhões de instâncias eram vulneráveis a um dos 137 CVEs relacionados ao Microsoft Windows, tornando esse componente uma prioridade máxima para os defensores e um excelente alvo para os atacantes.
Excluindo o Windows, a Rezilion identificou as dez principais CVEs:
Quase metade deles tem mais de cinco anos, então aproximadamente 800.000 máquinas não aplicaram atualizações de segurança por um período significativo de tempo.
"No geral, mais de 4,5 milhões de dispositivos voltados para a internet foram identificados como vulneráveis aos KEVs descobertos entre 2010 e 2020", comenta a Rezilion no relatório.
"É muito preocupante que essas máquinas não tenham corrigido as atualizações relevantes publicadas por anos, mesmo que uma correção tenha sido lançada, e essas vulnerabilidades sejam conhecidas por serem exploradas na natureza."
Algumas CVEs notáveis destacadas no relatório da Rezilion são:
Além disso, para a
CVE-2021-40438
, esse grande número corresponde ao número de sites/serviços em execução no Apache, não a dispositivos individuais, já que muitos sites podem ser hospedados em um único servidor.
É importante destacar que a estimativa de 15 milhões de endpoints expostos da Rezilion é conservadora, contendo apenas não duplicatas e deixando de fora casos para os quais os pesquisadores não conseguiram encontrar consultas que reduzissem as versões do produto.
A Rezilion também informou ao BleepingComputer que não dependeu apenas das pesquisas CVE integradas do Shodan para sua pesquisa, mas criou consultas de pesquisa personalizadas que determinaram as versões do software em execução nos dispositivos.
"Ao longo das vulnerabilidades, temos as tags inerentes do Shodan, mas principalmente conduzimos nossa própria análise, que incluiu a identificação das versões específicas vulneráveis para cada produto afetado e projetamos consultas específicas do Shodan que nos permitiram identificar indicações dessas versões nos metadados visíveis ao Shodan", explicou o Diretor de Pesquisa de Vulnerabilidade da Rezilion, Yotam Perkal, ao BleepingComputer.
A exposição é uma coisa, mas o interesse dos hackers é outra, e para responder a isso, a Rezilion usou dados do Greynoise que monitora e categoriza tentativas de exploração de vulnerabilidades.
No topo da lista com as falhas mais exploradas está a
CVE-2022-26134
, tendo 1.421 resultados no GreyNoise e 816 tentativas de exploração no último mês.
Essa falha crítica de gravidade no Atlassian Confluence Server e Data Center permite que um invasor remoto execute uma expressão de Linguagem de Navegação de Objeto-Gráfico na instância vulnerável.
Outras falhas com alta classificação na lista incluem a
CVE-2018-13379
, uma leitura arbitrária de arquivos pré-autenticação impactando dispositivos FortiOS, que tem 331 resultados no GreyNoise, e Log4Shell, um bug de execução de código malicioso no Log4J2 que teve 66 tentativas de exploração no último mês.
Corrigir todas as falhas em seu ambiente é a solução aparente para esses riscos.
No entanto, se essa é uma tarefa complicada para sua organização, priorizar falhas críticas em seu ambiente ou protegê-las atrás de um firewall deve ser o caminho a seguir.
A Rezilion diz que falhas no Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office e Win32k compõem um quarto do catálogo KEV da CISA, então esses produtos seriam um bom ponto de partida.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...