A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) juntamente com o FBI, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e o Centro Australiano de Segurança Cibernética (ACSC) publicaram um relatório que detalha quais foram as 30 vulnerabilidades exploradas mais frequentemente exploradas por cibercriminosos em ataques realizados entre 2020 e 2021. Quatro das vulnerabilidades mais exploradas em 2020 estavam relacionadas com tecnologias para o trabalho remoto. É importante lembrar que em decorrência da pandemia de Covid-19, muitas organizações foram obrigadas a implantar o teletrabalho para continuar operando e ao mesmo tempo cumprir as medidas sanitárias de isolamento social decretadas em grande parte do mundo, o que representou um desafio para muitas organizações que tiveram que acelerar os processos de transformação digital e lidar com um cenário em que os cibercriminosos tentavam aproveitar a ascensão do teletrabalho para realizar novos ataques.
"A mudança repentina e o aumento do uso de ferramentas para o teletrabalho, como redes privadas virtuais (VPN) e ambientes baseados em nuvem, provavelmente representaram um fardo adicional para os gerentes de segurança que lutam para manter e acompanhar as atualizações de software de rotina", destaca o comunicado.
De acordo com dados do governo dos Estados Unidos, a maioria das vulnerabilidades visadas pelos cibercriminosos em 2020 foram divulgadas nos últimos dois anos. A seguir está uma lista das vulnerabilidades que foram exploradas com mais frequência em 2020.
Fornecedor | CVE | Tipo de vulnerabilidade |
Citrix | CVE-2019-19781 | execução arbitrária de código |
Pulse | CVE 2019-11510 | leitura arbitrária de arquivos |
Fortinet | CVE 2018-13379 | path traversal |
F5- Big IP | CVE 2020-5902 | execução remota de código (RCE) |
MobileIron | CVE 2020-15505 | RCE |
Microsoft | CVE-2017-11882 | RCE |
Atlassian | CVE-2019-11580 | RCE |
Drupal | CVE-2018-7600 | RCE |
Telerik | CVE 2019-18935 | RCE |
Microsoft | CVE-2019-0604 | RCE |
Microsoft | CVE-2020-0787 | elevação de privilégios |
Netlogon | CVE-2020-1472 | elevação de privilégios |
Tabela: Vulnerabilidades (CVE) mais frequentemente exploradas durante 2020.
A CVE-2019-19781 é uma vulnerabilidade no aplicativo Delivery Controller do Citrix classificada como crítica com uma pontuação de 9,8 em 10 na escala de severidade CVSS. A exploração bem-sucedida dessa falha pode permitir que um cibercriminoso assuma o controle de um sistema. A vulnerabilidade atraiu o interesse de cibercriminosos porque é facilmente explorável e pelo fato de que os servidores Citrix são amplamente usados em todo o mundo.
De acordo com o relatório preparado pelas organizações de segurança cibernética, até agora as vulnerabilidades mais exploradas estão presentes em produtos da Microsoft, Pulse, Accellion, VMware e Fortinet. De acordo com o FBI, muitas organizações continuam expostas à exploração dessas falhas em seus sistemas. No caso da Microsoft, trata-se da cadeia de vulnerabilidades de execução remota de código (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) em servidores do Exchange. A exploração dessas CVEs começou no início de janeiro deste ano e, de acordo com os pesquisadores da ESET, elas foram exploradas por pelo menos 10 grupos APT em mais de 115 países.
A lista completa de vulnerabilidades e recomendações para mitigá-las pode ser encontrada no comunicado no site da Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA).
As quatro agências internacionais lembram às organizações a importância de instalar atualizações de segurança o mais rápido possível, pois é a maneira mais fácil de reduzir as chances de que os sistemas sejam comprometidos.