★ Brechas corrigidas há mais de 9 anos ainda são usadas em ataques de ransomware

 

Entre um investimento cada vez maior em segurança e ferramentas de monitoramento ou inteligência de ameaça, a falta de atualização, um procedimento relativamente simples, continua sendo o maior fantasma do mundo da defesa contra ciberataques. Prova disso é um novo estudo que aponta casos em que vulnerabilidades corrigidas há mais de nove anos seguem aparecendo nos rankings de aberturas mais usadas pelos criminosos em ataques contra estruturas corporativas.

O levantamento é da Qualys e mostrou que, nos últimos cinco anos, pelo menos 110 brechas já atualizadas foram usadas em golpes do tipo por 36 famílias diferentes de ransomware. Entre as cinco maiores, três são do início da década passada, incluindo uma, que atinge ambientes de programação em Java, tendo correção disponível desde junho de 2012.

Trata-se da CVE-2012-1723, a terceira entre as maiores aberturas usadas por quadrilhas de ransomware — neste caso, a partir da família Urausy de pragas, uma das primeiras em circulação no mundo. Ela aparece na terceira colocação, atrás da CVE-2013-1493, que também atingem ambientes Java a possuem atualizações disponíveis desde fevereiro e março de 2013, respectivamente; juntas, as três foram responsáveis por centenas de ataques desde 2016, com dezenas de milhões de dólares em prejuízo.

O levantamento também mostrou os softwares corporativos que mais sofrem com a falta de atualização e acabam se tornando alvo fácil para os criminosos. Em primeiro estão os sistemas VMware, principalmente o Esxi e o Workspace, seguido dos servidores Oracle weblogic, Pulse Secure Connect e Skype. Nos dois últimos casos, os exemplos são mais recentes e também refletem o foco dos criminosos em ferramentas de acesso remoto, trabalho em casa e virtualização.

Configurações equivocadas também favorecem ataques 

De acordo com os números da Qualys, a falta de atualização caminha lado a lado com as configurações equivocadas, aplicadas a servidores que manejam dados disponíveis na internet e acessados à distância. Aqui, preferências relacionadas a privilégios de acesso mal distribuídos, ataques à cadeia de suprimentos e o vazamento de credenciais aparecem como os principais fatores de risco.

Na visão dos especialistas, isso acontece devido à carga de trabalho excessiva das equipes de tecnologia e, também, da falta de uma visão completa sobre o parque tecnológico e, exatamente, o que precisa ser atualizado ou merece atenção. Em meio a sistemas segmentados, diferentes redes e relatórios específicos, alguns elementos podem escapar e é a partir deles que os criminosos conseguem comprometer redes e realizar seus ataques.

Entre as medidas, a Qualys sugere a redução nas etapas e maior comunicação entre times de segurança de ameaças e tecnologia, de forma que os processos sejam mais diretos e as vulnerabilidades percebidas acabem remediadas de forma mais rápida. Além disso, o levantamento aponta como um problema a dependência exclusiva de ferramentas de resposta a incidentes, com sistemas de inteligência, previsão e plataformas automatizadas de mitigação também servindo para identificar possíveis vetores de entrada e melhorar a segurança de redes que contam com múltiplos sistemas conectados.

Fonte: Qualys