Três anos após sua descoberta, a vulnerabilidade Log4J (CVE-2021-44228) continua sendo uma das explorações mais tentadas, observadas pela provedora de segurança em nuvem Cato Networks. O Cato Cyber Threat Research Labs (CTRL) publicou seu relatório inaugural de ameaças SASE referente ao primeiro trimestre esta semana durante a RSA Conference 2024, em São Francisco, Califórnia, que termina nesta quinta-feira, 9.
No relatório, a empresa observou que o Log4J representou 30% das explorações de vulnerabilidade de saída e 18% das explorações de vulnerabilidade de entrada detectadas no primeiro trimestre. Outra exploração de vulnerabilidade antiga, o CVE-2017-9841, que tem como alvo a estrutura de testes PHPUnit, é a vulnerabilidade mais comum explorada. De acordo com as estatísticas da Cato, representou 33% de todas as explorações de vulnerabilidade durante o período relatado.
“Embora as ameaças de dia zero recebam muita atenção na indústria, os operadores de ameaças muitas vezes evitam o uso das vulnerabilidades mais recentes e, em vez disso, exploram sistemas não corrigidos”, afirma o relatório.
Cato descobriu que 62% de todas as aplicações web são executadas em HTTP, um protocolo web não criptografado. Além disso, 54% de todo o tráfego WAN é executado em Telnet. Este protocolo de aplicação cliente/servidor fornece acesso a terminais virtuais de sistemas remotos em redes locais ou na Internet. É conhecido por ser vulnerável a ataques cibernéticos baseados em rede.
Finalmente, Cato observou que 46% do tráfego WAN observado usa a versão 1 do server message block (SMB), um protocolo de comunicação usado para compartilhar arquivos, impressoras, portas seriais e comunicações diversas entre nós em uma rede, em vez de suas versões mais seguras 2 e 3. “Depois que os operadores da ameaça penetram em uma rede, muitas vezes eles podem mover-se lateralmente com facilidade, já que a maioria das organizações ainda executa protocolos inseguros em suas redes de longa distância (WAN)”, diz o relatório. O movimento lateral foi identificado com mais frequência nos setores agrícola, imobiliário e de viagens e turismo.
Veja isso
Mais de 30% dos apps Log4J usam versão exposta da biblioteca
RCE no Log4j é explorada por hackers apoiados pela China
A Cato também descobriu que os operadores de ameaças tendem a ter técnicas, táticas e procedimentos (TTPs) preferidos, dependendo do setor que visam principalmente. Por exemplo, a técnica de “negação de serviço de endpoint” — rastreada como T1499 pela organização sem fins lucrativos MITRE — é particularmente proeminente em ataques cibernéticos que visam vítimas nos setores de entretenimento, telecomunicações e mineração e metais.
Nos setores de serviços e hotelaria, no entanto, os operadores de ameaças tendem a utilizar a técnica de “exploração para acesso a credenciais” (T1212). Como a Cato observou, este TTP é utilizado três vezes ou mais frequentemente em ataques cibernéticos direcionados a esta indústria do que em outras.A Cato CTRL analisou 1,26 trilhão de fluxos de rede nos sistemas dos 2.200 clientes da Cato Networks para elaborar o relatório.