10 principais ataques de segurança cibernética da última década

10 principais ataques de segurança cibernética da última década que não serão esquecidas e mostram o que está por vir.

Aqui estão as 10 principais vulnerabilidades de rede da Trustwave que definiram uma década e “não serão esquecidas”.

Passado é prólogo, escreveu William Shakespeare em sua peça “A Tempestade”, o que significa que o presente muitas vezes pode ser determinado pelo que veio antes. Assim é com a segurança cibernética, que serve de base para a “Decade Retrospective: The State of Vulnerabilities” da Trustwave nos últimos 10 anos. O filósofo espanhol George Santayana é creditado com o aforismo “Aqueles que não podem aprender com a história estão condenados a repeti-la” .

Estas afirmações são é particularmente verdadeira quando se trata de segurança cibernética. Os agentes de ameaças reutilizam vulnerabilidades conhecidas e corrigidas anteriormente e tentam tirar proveito das organizações que cometem o mesmo erro repetidamente. Assim, se alguém não souber o que aconteceu recentemente, isso o deixará vulnerável a outro ataque.

Os agentes de ameaças frequentemente revisitam vulnerabilidades conhecidas e corrigidas anteriormente para aproveitar a falta de higiene contínua da segurança cibernética. “Se alguém não sabe o que aconteceu recentemente, fica vulnerável a outro ataque”, disse a Trustwave em seu relatório que identifica e examina os “momentos divisores de águas” que moldaram a segurança cibernética entre 2011 e 2021.

Enorme crescimento nas vulnerabilidades relatadas nos últimos anos

É difícil contar a história completa sobre o cenário de segurança de rede da última década porque as ferramentas de segurança e os registradores de eventos evoluíram tanto recentemente que muitas das métricas que consideramos garantidas hoje simplesmente não existiam 10 anos atrás. No entanto, os dados disponíveis fornecem informações suficientes para identificar algumas tendências significativas. A tendência mais óbvia, com base em fontes como o National Vulnerability Database (NVD), Exploit-DB, VulnIQ e os próprios dados de segurança da Trustwave, é que os incidentes de segurança e vulnerabilidades individuais têm aumentado em número e se tornado mais sofisticados.

Distribuição da gravidade da vulnerabilidade ao longo do tempo ( Fonte: NVD )

O gráfico acima mostra um aumento constante no número de vulnerabilidades relatadas ao NVD de 2011 a 2016, seguido por um aumento exponencial em 2017 e um aumento contínuo a cada ano a partir de então. O aumento em 2017 pode ter vindo de uma coleção mais extensa de produtos de software catalogados no NVD. No entanto, é significativo observar que as explorações de aplicativos da Web dominaram a década, conforme visto no gráfico abaixo (consulte a Figura 2).

Exploits por tipo ao longo da década ( Fonte: Exploit-DB )

CWE

As portas 80 e 443 lideram a lista de portas comumente abertas, portanto, não é surpresa que as explorações de aplicativos da Web dominaram a década. Revendo o CWE ao longo do tempo (Figura 3), o CWE-79 , também conhecido como ‘XSS’, parecia ser a falha que estava no topo da lista todos os anos.

TOP 10

Com mais de 100.000 vulnerabilidades rastreadas no NVD de 2011 a 2021 e uma ampla variedade de fornecedores/produtos envolvidos, não foi fácil escolher 10 das falhas de segurança de rede mais notórias. Também não era viável chamar e listar todas as vulnerabilidades que ameaçavam o mundo de TI na última década. No entanto, com isso dito, aqui está a nossa escolha dos 10 problemas e violações de segurança de rede mais proeminentes e notáveis (em nenhuma ordem específica) que não serão esquecidos.

Hack da SolarWinds e violação do FireEye

Detectado: 8 de dezembro de 2020 (FireEye)
Corrigido: 13 de dezembro de 2020
Status: Ativo. Os hackers plantaram uma atualização maliciosa de backdoor, apelidada de SUNBURST, em cerca de 18.000 clientes, concedendo aos invasores a capacidade de modificar, roubar e destruir dados. Atualmente, existem servidores infectados e os ataques ainda ocorrem devido ao fato de as empresas não terem conhecimento de vetores de ataque inativos configurados antes do patch.

Exploração EternalBlue

Detectado: 14 de abril de 2017
Corrigido: 14 de março de 2017 (Corrigido após a NSA alertar a Microsoft)
Status: Ativo. Shodan, um mecanismo de busca popular para dispositivos conectados à Internet, lista atualmente mais de 7.500 sistemas vulneráveis.

Heartbleed

Detectado: 21 de março de 2014
Atualizado: 7 de abril de 2014
Status: Ativo. Seis anos depois, essa vulnerabilidade continua sendo alvo de invasores devido ao volume de servidores voltados ao público sem patches.

Shellshock, execução remota de código em BASH

Detectado: 12 de setembro de 2014
Atualizado: 24 de setembro de 2014
Status: Inativo. Explorada pela última vez com a Sea Turtle Campaign, a vulnerabilidade foi considerada ainda mais grave que o Heartbleed porque permitia que um invasor assumisse o controle total de um sistema sem ter um nome de usuário e senha.

Apache Struts Remote Command Injection & Equifax Breach

Detectado: 6 de março de 2017
Corrigido: 5 de setembro de 2017
Status: Inativo. Pouco depois de ser divulgado, o Apache emitiu o patch de segurança de emergência S2-045 para a vulnerabilidade. Meses depois, a gigante de relatórios de crédito Equifax anunciou que hackers obtiveram acesso aos dados da empresa, potencialmente comprometendo informações confidenciais de 143 milhões de pessoas nos EUA, Reino Unido e Canadá.

Chipocalypse, Vulnerabilidades de Execução Especulativa Meltdown & Specter

Status: Inativo (Nenhuma exploração encontrada em estado selvagem). No início de 2018, pesquisadores de segurança divulgaram vulnerabilidades significativas nas CPUs que executam a maioria dos computadores do mundo. Essas falhas foram apelidadas de Meltdown e Spectre e pertencem a uma classe de falhas chamadas vulnerabilidades de execução especulativa.

BlueKeep, área de trabalho remota como vetor de acesso

Detectado: janeiro de 2018
Atualizado: abril de 2018
Status: Ativo. Mais de 30.000 instâncias vulneráveis foram encontradas. Desde 2016, os invasores usam cada vez mais o Remote Desktop Protocol (RDP) para direcionar computadores para comprometimento, explorando sessões RDP vulneráveis para roubar dados pessoais, credenciais de login e instalar ransomware.

Série Drupalgeddon, Vulnerabilidades CMS

Detectado: janeiro de 2018
Status: Ativo. Mais de 2.000 instâncias vulneráveis foram encontradas no Shodan.

Vulnerabilidade OLE do Microsoft Windows, Exploração Sandworm

Detectado: 3 de setembro de 2014
Atualizado: 15 de outubro de 2014
Status: Inativo. A vulnerabilidade existe na forma como o gerenciador de pacotes OLE baixou e executou os arquivos INF. A vulnerabilidade está em uso desde agosto de 2013, distribuída principalmente por meio de documentos do PowerPoint armados.

Vulnerabilidades Ripple20, cenário crescente de IoT

Detectado: 16 de junho de 2020
Corrigido: 3 de março de 2020
Status: Ativo. As vulnerabilidades foram chamadas coletivamente de Ripple20 para ilustrar o “efeito cascata” que esses defeitos de segurança terão nos dispositivos conectados nos próximos anos. Quando explorado adequadamente, um invasor pode obter controle total sobre um dispositivo de rede interno de fora do perímetro da rede por meio do gateway voltado para a Internet.

O que vem a seguir? A Era dos Zero Dias

O relatório da Trustwave pergunta e responde três perguntas sobre por que seus dados são “relevantes”:

P. Por que existem tantos servidores vulneráveis expostos publicamente?
A. A falta de capacidade de rastrear e registrar vários serviços em execução em uma rede.

P. Por que os patches não estão sendo aplicados?
A. A capacidade de garantir e aplicar patches aos ativos da organização sem interromper o fluxo de trabalho.

P. Por que as organizações não estão trabalhando para corrigir suas falhas de segurança?
A. A reação lenta aos dias zero descobertos.

2021 abriu em grande estilo com os bugs do Exchange Server RCE e terminando com a exploração do Log4j em 2022, vemos um aumento acentuado no número de vulnerabilidades de dia zero. O projeto de rastreamento de dia zero mostra que o número de dias zero aumentou duas vezes em comparação com 2020. Mais de 59 dias zero foram registrados em 2021. Essas vulnerabilidades de dia zero criaram um pesadelo de segurança cibernética para organizações que incorreram em cerca de US$ 6 trilhões em danos. Para piorar as coisas para as equipes de segurança cibernética é o fato de que, à medida que as Provas de Conceitos (POCs) se tornaram publicamente disponíveis, os principais agentes de ameaças e até mesmo os amadores se juntaram à caça e exploração de instâncias vulneráveis, aumentando os problemas de registro.

Muitos pesquisadores vendem suas explorações de dia zero por grandes somas de dinheiro para programas de recompensas como Zerodium ou para indivíduos particulares na Dark Web.

A próxima década não começou bem para as equipes de segurança cibernética. A pandemia obrigou as empresas a adotarem um modelo de trabalho a partir de casa, o que levou a mais problemas de segurança com a implementação de novas tecnologias com menos formação. Esta tendência vai ficar com algumas grandes empresas, mesmo tornando-se uma mudança permanente.

Com a adição de novas abordagens de segurança, tecnologia de firewall aprimorada, sistemas sofisticados de detecção e resposta de ponto final (EDR) e implementação de IA, mostra como a necessidade gera inovação rápida. As soluções de segurança cibernética tiveram um grande progresso ao longo dos anos e estão em ótima forma para enfrentar o que ainda está por vir.

Mais detalhes do relatório pode ser visto em “Decade Retrospective: The State of Vulnerabilities”

Fonte: MSSP Alert & Trustwave

Veja também:

10 principais ataques de segurança cibernética da última década