Agências governamentais na Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos publicaram uma lista das vulnerabilidades de software que foram exploradas com mais frequência em ataques maliciosos em 2022.
No ano passado, dizem as agências Five Eyes, os agentes de ameaças visaram principalmente sistemas voltados para a Internet que não foram corrigidos contra vulnerabilidades conhecidas e antigas, incluindo falhas para as quais o código de exploração de prova de conceito (PoC) existe publicamente.
“Atores cibernéticos maliciosos geralmente têm mais sucesso na exploração de vulnerabilidades conhecidas nos primeiros dois anos de divulgação pública – o valor de tais vulnerabilidades diminui gradualmente à medida que o software é corrigido ou atualizado. A correção oportuna reduz a eficácia de vulnerabilidades conhecidas e exploráveis, possivelmente diminuindo o ritmo das operações maliciosas de ciberataques”, observam as agências.
Os atores de ameaças, dizem as agências, provavelmente se concentram em explorações de vulnerabilidades graves que têm impacto mais amplo, o que lhes fornece “ferramentas de baixo custo e alto impacto” que podem ser usadas por anos e priorizam explorações de bugs que afetam as redes de seus alvos específicos.
Ao longo de 2022, as agências relatoras observaram o exploração frequente de 12 vulnerabilidadesalguns dos quais também foram explorados em ataques anteriores, embora os patches estejam disponíveis há anos.
A lista inclui CVE-2018-13379 (Fortinet SSL VPNs), CVE-2021-34473, CVE-2021-31207, CVE-2021-34523 (Microsoft Exchange, ProxyShell), CVE-2021-40539 (Zoho ManageEngine ADSelfService Plus), CVE-2021-26084, CVE-2022-26134 (Atlassian Confluence), CVE-2021-44228 (Log4Shell), CVE-2022-22954, CVE-2022-22960 (produtos VMware), CVE-2022-1388 (F5 BIG- IP) e CVE-2022-30190 (Windows, Follina).
Ademais, as agências Five Eyes chamam a atenção para outras 30 vulnerabilidades conhecidas que foram exploradas rotineiramente em ataques em 2022, em produtos da Apache, Citrix, F5 Networks, Fortinet, Ivanti, Microsoft, Oracle, QNAP, SAP, SonicWall, VMware, WSO2, e Zimbra.
Fornecedores e desenvolvedores são aconselhados a auditar seus ambientes para identificar classes de vulnerabilidades exploradas e eliminá-las, implementar práticas de design seguras, priorizar configurações seguras por padrão e seguir o Secure Software Development Framework (SSDF).
As organizações de usuários finais são aconselhadas a aplicar atualizações e patches de software disponíveis em tempo hábil, realizar backups seguros do sistema, manter um plano de resposta a incidentes de segurança cibernética, implementar identidade robusta e políticas de gerenciamento de acesso, garantir que os dispositivos de rede voltados para a Internet estejam protegidos, implementar Zero Trust Network Architecture (ZTNA) e melhore a segurança da cadeia de suprimentos.