Reveal(x), NDR da ExtraHop, detecta 11 das 12 vulnerabilidades mais exploradas

O Reveal(x), NDR da ExtraHop, oferece detecções para 11 das 12 vulnerabilidades mais exploradas atualmente. A solução consegue identificar e mitigar duas das ameaças mais comuns, o ProxyShell e o Log4Shell. A solução consegue esse resultado ao realizar a gestão do tráfego de rede, e usar aprendizado de máquina para detectar atividades maliciosas e compreender os riscos e a exposição à segurança. A solução também combina a detecção de comportamentos de ataque conhecidos com a capacidade de entender o que é normal para qualquer organização, sinalizando mudanças incomuns que podem indicar um ataque. Quando os agentes da ameaça usam a rede para se mover lateralmente no ambiente da vítima, o Reveal(x) detecta esse movimento e alerta os usuários sobre possíveis incidentes de segurança.

Em segundo lugar, a equipe ExtraHop prioriza novos detectores com base nas principais vulnerabilidades, explorações, ferramentas e técnicas de ataque que observam e leva em consideração as solicitações de clientes e potenciais clientes.

Além da criação de detecções liderada por humanos, o ExtraHop também usa técnicas de aprendizado de máquina para identificar comportamentos anômalos e gerar novas detecções. Esta combinação de técnicas de criação de detecção fornece ao Reveal(x) ampla cobertura da estrutura MITRE ATT&CK.

Os clientes do ExtraHop podem usar o Reveal(x) para identificar se alguma dessas vulnerabilidades existe em seu ambiente. Como essas vulnerabilidades são comumente exploradas por agentes de ameaças, as equipes de segurança provavelmente desejarão priorizá-las para correção, a fim de diminuir sua superfície de ataque e reduzir sua exposição a riscos. Esses recursos de detecção também são ferramentas de relatórios úteis para conselhos de administração: eles permitem que os CISOs demonstrem que suas equipes de segurança são capazes de identificar e remediar proativamente vulnerabilidades conhecidas e altamente exploradas. 

As detecções Reveal(x) fornecem visibilidade do tráfego leste-oeste, e a ferramenta NDR oferece funcionalidade de descriptografia de tráfego que outros softwares de verificação de vulnerabilidades podem não incluir, fornecendo contexto adicional às equipes de segurança durante a investigação e resposta.

Principais CVEs detectados pelo Reveal(x) NDR

  • CVE-2021-34473 e CVE-2021-34523 : Essas vulnerabilidades, usadas na família de ataques ProxyShell, afetam os servidores de e-mail do Microsoft Exchange. A exploração bem-sucedida permite que um ator remoto execute código arbitrário. As vulnerabilidades residem no Microsoft Client Access Service (CAS), que é comumente exposto à Internet para permitir que os usuários acessem seus e-mails por meio de dispositivos móveis e navegadores da web.
  • CVE-2021-44228 : Esta vulnerabilidade, conhecida como Log4Shell, afeta a biblioteca Log4j do Apache, uma estrutura de registro de código aberto incorporada em milhares de produtos. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada a um sistema vulnerável, causando a execução de código arbitrário. A solicitação permite que o invasor assuma o controle total de um sistema.
  • CVE-2018-13379 : Esta vulnerabilidade, que afeta as VPNs SSL da Fortinet, também foi explorada rotineiramente em 2020 e 2021 . A exploração contínua sugere que muitas organizações não conseguiram corrigir o software, de acordo com a CISA.
  • CVE-2021-26084 : Esta vulnerabilidade, que afeta a ferramenta de colaboração baseada na Web Atlassian Confluence Server e Data Center, pode permitir que um agente de ameaça não autenticado execute código arbitrário em sistemas vulneráveis. Essa vulnerabilidade rapidamente se tornou uma das vulnerabilidades mais exploradas rotineiramente depois que uma prova de conceito foi lançada uma semana após sua divulgação. 
  • CVE-2022-26134 : Esta vulnerabilidade crítica de execução remota de código também afeta o Atlassian Confluence e o Data Center. A vulnerabilidade, que provavelmente foi explorada como dia zero antes da divulgação pública em junho de 2022, está relacionada a uma vulnerabilidade mais antiga do Confluence, disse a CISA. 
  • CVE-2022-1388 : Esta vulnerabilidade permite que atores cibernéticos mal-intencionados não autenticados ignorem a autenticação REST iControl no software de segurança e entrega de aplicativos F5 BIG-IP.
  • CVE-2022-30190 : Esta vulnerabilidade afeta a Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) no Windows. Um ciberator remoto e não autenticado poderia explorar esta vulnerabilidade para assumir o controle de um sistema afetado.
  • CVE-2022-22954 : Esta vulnerabilidade permite execução remota de código, escalonamento de privilégios e desvio de autenticação no VMware Workspace ONE Access, Identity Manager e outros produtos VMware. Um ciberator mal-intencionado com acesso à rede pode desencadear uma injeção de modelo no servidor que pode resultar na execução remota de código. 

Vulnerabilidades detectadas pelo Reveal(x) IDS

  • CVE-2021-40539 . Esta vulnerabilidade permite a execução remota de código não autenticado no Zoho ManageEngine ADSelfService Plus e estava vinculada ao uso de uma dependência de terceiros desatualizada. A exploração inicial desta vulnerabilidade começou no final de 2021 e continuou ao longo de 2022 .
  • CVE-2021-31207 : Esta é outra vulnerabilidade na família de ataques ProxyShell que afeta os servidores de e-mail Microsoft Exchange. 

Quer fazer uma demo do NDR Reveal(x), da ExtraHop? Entre em contato conosco aqui.

A transformação começa agora.

Política de Privacidade

Onde estamos

Rua Pais Leme, 215, sala 418, Pinheiros – São Paulo
CEP: 05424-150

© Evolutia – Todos os direitos reservados.

Desenvolvido pela Intelligenzia