Tientallen kwetsbaarheden in vpn's, firewalls en Windows zijn gebruikt bij ransomware-aanvallen, zo laat het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security weten. Het CISA houdt een overzicht bij van actief aangevallen kwetsbaarheden. De Known Exploited Vulnerabilities (KEV) catalogus bevat inmiddels vijftienhonderd beveiligingslekken, waarvan het CISA zelf heeft vastgesteld dat er misbruik van is gemaakt of baseert zich hierbij op informatie van derden.

Bij elke vermelde kwetsbaarheid staat ook of die bij ransomware-aanvallen is ingezet. Het komt geregeld voor dat beveiligingslekken gebruikt door statelijke actoren na bekendmaking ook in handen van ransomwaregroepen komen. Het CISA voegt deze informatie dan later toe, maar doet hier geen verdere aankondiging over. Securitybedrijf GreyNoise analyseerde bij hoeveel kwetsbaarheden vorig jaar werd vermeld dat het lek in kwestie uiteindelijk ook bij ransomware-aanvallen was ingezet.

Het CISA voegde bij 59 kwetsbaarheden deze informatie toe. Het ging voornamelijk om kwetsbaarheden in producten van Microsoft, Ivanti, Fortinet, Palo Alto Networks en Zimbra. Volgens GreyNoise blijkt dat aanvallers het vooral voorzien hebben op kwetsbaarheden in firewalls, vpn's en Windows. 27 procent van de 59 kwetsbaarheden betreffen problemen in Microsoft-producten. 34 procent betreft kwetsbaarheden in vpn's, firewalls en andere edge devices.

Wat ook opvalt aan de 59 kwetsbaarheden is dat 39 procent van voor 2023 is. Het CISA geeft geen details over het gebruik bij ransomware-aanvallen. Het kan zijn dat oudere kwetsbaarheden nog steeds bij ransomware-aanvallen worden ingezet, of dat het informatie van oudere ransomware-aanvallen betreft. Verder blijkt dat de misbruikte kwetsbaarheden vooral in de categorieën 'authentication bypass' en 'remote code execution' vallen.