Top 10 meest misbruikte kwetsbaarheden 2016 tot 2020

De Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI) en de regering van de Verenigde Staten willen hiermee IT-Security professionals adviseren om meer prioriteit te geven aan het patchen van de meeste bekende misbruikte kwetsbaarheden die veelvuldig worden gebruikt door Advanced Persistent Threats (APT’s) en andere cybercriminelen. Deze kwetsbaarheden worden aangeduid met een Common Vulnerabilities and Exposures (CVEs) nummers.

Deze Cybercriminelen blijven doorgaan met het exploiten van publiekelijk bekende, en vaak gedateerde, kwetsbaarheden in software tegen een groot aantal verschillende organisaties. Vaak wordt hiervoor gekozen, omdat het minder resources kost, dan misbruik te maken van zero-day exploits, waarvoor nog geen patches beschikbaar zijn.

Organisaties kunnen om minder interessant te zijn voor deze cybercriminelen door extra inspanning te leveren in het patchen van hun systemen en het implementeren van programma’s om deze up-to-date te houden. Wanneer veel organisaties dit doen zorgt dit ervoor dat de cybercriminelen zich moeten focussen op exploits die duurder zijn en minder effectief zijn, ten opzichte van de bekendere kwetsbaarheden.

Top 10 meest misbruikte kwetsbaarheden 2016-2019

Hieronder de lijst die is geïdentificeerd is als de top meest misbruikte kwetsbaarheden door APT’s en andere cybercriminelen van 2016 t/m 2019, met daarbij welke producten ervoor kwetsbaar zijn:

  1. CVE-2017-11882 – Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 Producten;
  2. CVE-2017-0199 – Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016, Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1;
  3. CVE-2017-5638 – Apache Struts 2 2.3.x voor 2.3.32 en 2.5.x voor 2.5.10.1;
  4. CVE-2012-0158 – Microsoft Office 2003 SP3, 2007 SP2 en SP3, en 2010 Gold en SP1; Office 2003 Web Components SP3; SQL Server 2000 SP4, 2005 SP4, en 2008 SP2, SP3, en R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, en 2009 Gold en R2; Visual FoxPro 8.0 SP1 en 9.0 SP2; en Visual Basic 6.0;
  5. CVE-2019-0604 – Microsoft SharePoint;
  6. CVE-2017-0143 – Microsoft Windows Vista SP2; Windows Server 2008 SP2 en R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold en R2; Windows RT 8.1; en Windows 10 Gold, 1511, en 1607; en Windows Server 2016;
  7. CVE-2018-4878 – Adobe Flash Player voor 28.0.0.161;
  8. CVE-2017-8759 – Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 en 4.7;
  9. CVE-2015-1641 – Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services on SharePoint Server 2010 SP2 en 2013 SP1, en Office Web Apps Server 2010 SP2 en 2013 SP1;
  10. CVE-2018-7600 – Drupal voor 7.58, 8.x voor 8.3.9, 8.4.x voor 8.4.6, en 8.5.x voor 8.5.1.

Wat kan er uit deze top 10 gehaald worden?

  • De cybercriminelen maken het meest misbruik van kwetsbaarheden in de Microsoft Object Linking and Embedding (OLE) technologie. OLE staat het toe dat documenten ingebakken content van andere applicaties bevatten, zoals spreadsheets. Op de tweede plaatst na OLE staat het veel gebruikte Web framewerk Apache Struts;
  • Van deze top 10 worden er 3 kwetsbaarheden het meest gebruikt door Cybercriminelen die gesponsord worden door een staat, ook bekend als APTs, uit de landen China, Iran, Noord-Korea en Rusland. Het gaat hier om CVE-2017-11882, CVE-2017-0199 en CVE-2012-0158, welke alle 3 gerelateerd zijn aan Microsoft OLE;
  • In december 2019 is er gezien dat Chinese staat actoren met grote regelmaat misbruik maken van de kwetsbaarheid CVE-2012-0158. In 2015 gaf de overheid van de VS al aan dat deze kwetsbaarheid het meest werd misbruikt in hun cyber operaties. Deze trend lijkt er op dat er nog steeds organisaties zijn die de patch hebben geïnstalleerd die deze kwetsbaarheid verhelpt, hiermee zullen cybercriminelen waarschijnlijk door blijven gaan met het gebruiken van gedateerde kwetsbaarheden, zolang er nog steeds organisaties zijn die ze niet gepatcht hebben;
  • Het uitrollen van patches zorgt ervoor dat IT-Security proffesionals moeten balanceren tussen het mitigeren van kwetsbaarheden en het draaiende blijven houden van systemen en ervoor te zorgen dat de geïnstalleerde patches ook werken met de andere software die gebruikt wordt binnen de organisatie. Dit kan er voor zorgen dat er veel inspanning geleverd moet worden, vooral wanneer en meerdere kwetsbaarheden tegelijkertijd gepatcht moeten worden;
  • Aan het begin van 2019 is er een studie door de Industrie van de VS gedaan naar de kwetsbaarheden waarvan cybercriminelen het meeste misbruik van maken, hieruit is gekomen dat het vooral Microsoft en Adobe Flash producten waren, omdat deze veel verspreide technologieën zijn. 4 van de top 10 meest misbruikte kwetsbaarheden, komen ook terug in bovenstaande top 10.

Misbruik van kwetsbaarheden in 2020

Ook zijn er kwetsbaarheden die regelmatig gebruikt worden door APTs in 2020:

  • Er is een toename in het misbruiken van nog niet gepatchte Virtual Private Network (VPN) kwetsbaarheden;
    • Een willekeurige code executie kwetsbaarheid in Citrix VPN apparaten, bekend als CVE-2019-19781, wordt veel misbruik van gemaakt in het wild;
    • Een willekeurige bestand lees kwetsbaarheid in Pulse Secure VPN servers, bekend als CVE-2019-11510, is nog steeds een gewild doelwit voor kwaadaardige actoren;
  • In maart 2020 moesten veel organisatie abrupt over naar een thuiswerk situatie, wat ervoor zorgde dat veel organisatie een snelle uitrol moesten doen van Cloud diensten om samen te werken zoals Microsoft Office 365. Kwaadaardige actoren richten zich op organisaties die in hun snelle uitrol van Office 365 verschillende security configuraties hebben gemist en kwetsbaar zijn voor aanvallen;
  • Cybersecurity risico’s, zoals slechte opleiding van personeel voor het herkennen van social engineering aanvallen en het gemist van systeemherstel en continuïteitsplannen, zorgen ervoor dat organisaties in 2020 kwetsbaar zijn voor Ransomware aanvallen;
  • Ook hebben wij recent een artikel geschreven over APT’s die misbruik maken van een recente kwetsbaarheid in Microsoft Exchange servers.

Mitigaties voor kwetsbaarheden in 2020

CVE-2019-11510

  • Kwetsbare producten: Pulse Connect Secure 9.0R1 – 9.0R3.3, 8.3R1 – 8.3R7, 8.2R1 – 8.2R12, 8.1R1 – 8.1R15 en Pulse Policy Secure 9.0R1 – 9.0R3.1, 5.4R1 – 5.4R7, 5.3R1 – 5.3R12, 5.2R1 – 5.2R12, 5.1R1 – 5.1R15;
  • Mitigatie: Update de kwetsbare Pulse Secure apparaten met de laatst beschikbare security patches.

CVE-2019-19781

  • Kwetsbare producten: Citrix Application Delivery Controller, Citrix Gateway, en Citrix SDWAN WANOP;
  • Mitigatie: Update de kwetsbare Citrix apparaten met de laatst beschikbare security patches.

Onoplettendheid in Microsoft O365 Security Configuraties

Organisatorische Cybersecurity zwakheden

  • Kwetsbare producten: Systemen, netwerken en data;
  • Mitigatie: volg de best practices voor Cybersecurity.

Advies

Wij adviseren om ten eerste te controleren of in uw organisaties nog 1 of meerdere kwetsbaarheden aanwezig zijn van de top 10 die het meest misbruikt worden, wanneer dit het geval is dan moeten deze systemen z.s.m. gepatcht worden en bestaat er een grote kans dat er al misbruik is gemaakt van deze kwetsbaarheden, daarom moet er ook gekeken worden naar de bekende Indicators of Compromise (IOCs) voor deze kwetsbaarheden om uw omgeving te controleren of er al misbruik van is gemaakt, dit resulteert in andere stappen, dan alleen het doorvoeren van de patch.

Ook adviseren wij om de mitigaties op te volgen voor de kwetsbaarheden van Pulse Secure en Citrix producten, wanneer dit nog niet gedaan is en ook hier te kijken naar de IOCs (Citrix & Pulse Secure) en de security aanbevelingen voor Microsoft O365 en best practices voor Cybersecurity op te volgen.

Het is belangrijk om bekende kwetsbaarheden z.s.m. te patchen of mitigatie stappen uit te voeren wanneer deze beschikbaar zijn om de kans zo klein mogelijk te maken dat hier door cybercriminelen misbruik van gemaakt wordt. Het doel van dit blog is ook om dat aan te tonen en wij hopen dat deze boodschap ook overkomt op organisaties.

 

COVID-19 (Corona virus)
Het betalen van Cybercriminelen verdubbelt de opruimkosten

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

zestien − 15 =

Menu