De Qualys Threat Research Unit (TRU) publiceert vandaag een terugblik op de ontwikkelingen rond CVE’s (Common Vulnerabilities and Exposures) in 2023. De onderzoekers willen lessen trekken uit wat het afgelopen jaar werkte en wat niet, wat hun aandacht trok en welke kwetsbaarheden voor verstoring zorgden of juist onopgemerkt bleven. Zodoende kunnen organisaties de risico’s het komende jaar beter beheren.
2023 Statistieken voor CVE’s
CVE’s, of kwetsbaarheden, zijn fouten in softwarecode die aanvallers direct ongeautoriseerde toegang kunnen geven tot IT-systemen en netwerken. Daardoor kunnen zij bijvoorbeeld gegevens stelen, beheerdersrollen overnemen en malware verspreiden. Qualys TRU onderzocht welke CVE’s het meest werden misbruikt, welke aanvalsmethoden en -tactieken werden gebruikt en welke strategieën de verdediging kunnen versterken.
In 2023 werden er 26.447 CVE’s bekendgemaakt, 1.500 meer dan het voorgaande jaar. Niet alle kwetsbaarheden vormen echter een hoog risico voor organisaties. Volgens Qualys TRU wordt slechts 206 (minder dan 1%) van de CVE’s actief misbruikt voor de verspreiding van ransomware en malware.
Kwetsbaarheden sneller misbruikt in 2023
In 2023 zagen de onderzoekers dat aanvallers steeds sneller munt weten te slaan uit de kwetsbaarheden met een hoog risico. Gemiddeld gebeurde dit binnen 44 dagen. Dit is weliswaar ongeveer anderhalve maand, maar het is slechts een gemiddelde. 25 procent van de 206 CVE’s met een hoog risico werd al misbruikt op de dag dat ze werden gepubliceerd. Hieruit blijkt dat aanvallers efficiënter worden en dat er steeds minder tijd is voor een reactie door verdedigers. Organisaties dienen dus proactief om te gaan met patchbeheer en informatie over bedreigingen.
Verdediging vraagt om verschillende methoden
Bijna een derde (32,5%) van de 206 CVE’s kwam voor in de netwerkinfrastructuur of in webapplicaties. Deze zijn meestal moeilijk te beveiligen met conventionele middelen. Volgens de onderzoekers van Qualys TRU onderstreept dit de noodzaak van een uitgebreide strategie voor het beheer van kwetsbaarheden. Deze combineert verschillende methoden, waaronder agent-based, agent-less en netwerk-based technieken. Organisaties kunnen zodoende zorgen voor uitgebreide en proactieve bescherming van alle IT-middelen. Een dergelijke meervoudige strategie is essentieel voor het effectief opsporen en verhelpen van bedreigingen.
Meest voorkomende aanvalstactieken in 2023
In 2023 werden alle 206 CVE’s in de dataset misbruikt, wat de onderzoekers van Qualys TRU een goed beeld geeft van de tactieken die aanvallers gebruiken:
- Exploitatie van externe services: Dit is de meest voorkomende methode, met 72 gevallen in bedrijfsomgevingen en 24 in industriële besturingssystemen (ICS). Deze techniek wordt gebruikt voor initiële toegang en laterale beweging. Dat benadrukt het belang van het beveiligen van protocollen voor externe services tegen ongeautoriseerde toegang en exploitatie.
- Exploitatie van publiek toegankelijke toepassingen: Deze techniek, die 53 keer voorkomt in bedrijfsdomeinen en 19 keer in ICS, richt zich op toepassingen die toegankelijk zijn vanaf het internet. Het is een favoriete eerste toegangsroute voor aanvallers en vraagt om robuuste beveiliging van extern gerichte toepassingen.
- Exploitatie voor Privilege-escalatie: Deze techniek, die 20 keer is aangetroffen, houdt in dat aanvallers kwetsbaarheden misbruiken om hogere rechten te krijgen binnen een systeem. Het voorkomen ervan vereist effectief privilegebeheer en -monitoring binnen bedrijfsnetwerken.
Meest actieve aanvallers van 2023
In 2023 werd de wereld opgeschud door de CL0P Ransomware Gang. Deze groep beraamde cyberaanvallen door gebruik te maken van ‘zero-day’-kwetsbaarheden. Ze maakten met name gebruik van ‘zero-day’-CVE’s in belangrijke platforms zoals GoAnywhere MFT, PaperCut, MOVEit en SysAid. De CL0P Ransomware Gang vormde een serieuze bedreiging doordat de groep gebruik maakt van verschillende soorten malware voor het verzamelen van informatie en het faciliteren van aanvallen.
Meest actieve malware van 2023
In 2023 was LockBit de meest prominente ransomware. LockBit richtte zich met een ransomware-as-a-service-model op een groot aantal organisaties, onder meer in de IT- en financiële sector. De ransomware maakte met name misbruik van CVE’s in PaperCut NG en Google Chrome, waardoor aanvallers op afstand de authenticatie konden omzeilen.
Aanbevelingen voor 2024
Het onderzoek van Qualys TRU naar de CVE’s van 2023 laten zien dat een groeiende aantal aanvallers met steeds effectievere methoden sneller misbruik weten te maken van kwetsbaarheden. Dat stelt organisaties het komende jaar voor grote uitdagingen. Qualys TRU geeft enkele aanbevelingen om de risico’s te beperken:
- Om het werkelijke risico van CVE’s binnen de organisatie nauwkeurig te kunnen beoordelen, is het essentieel dat bedrijven een uitgebreide set sensoren gebruiken, variërend van agent- en netwerkscanners tot externe scanners.
- Inventariseer grondig alle publiek toegankelijke applicaties en externe services om ervoor te zorgen dat ze niet kwetsbaar zijn voor CVE’s met een hoog risico.
- Gebruik een veelzijdige benadering voor het prioriteren van kwetsbaarheden.
Deze aanbevelingen zullen volgens Qualys TRU bijdragen aan een robuuste, proactieve benadering van kwetsbaarheids- en risicobeheer, vooral in een tijdperk waarin cyberbedreigingen steeds geavanceerder en algemener worden en CVE’s een steeds groter cyberrisico vormen.