Согласно исследованию Palo Alto Unit 42 о реагировании на инциденты за 2022 год, хакеры постоянно отслеживают объявления поставщиков программного обеспечения относительно информации о новых уязвимостях. Они оперативно используют ее для первичного доступа к корпоративной сети или для удаленного исполнения кода.
У системных администраторов остается все меньше времени на исправление обнаруженных уязвимостей. В новом отчете говорится, что злоумышленники сканируют уязвимые конечные точки в течение 15 минут после публикации новых данных (Common Vulnerabilities and Exposures — CVE).
Поскольку сканирование не требует особого труда, даже низкоквалифицированные злоумышленники могут использовать этот метод в поисках уязвимых конечных точек и продавать свои результаты в даркнете более опытным хакерам.
Затем уже в течение нескольких часов происходят первые активные попытки эксплуатации уязвимостей, которые часто затрагивают системы, не имеющие возможности установить обновления с исправлением ошибок.
Эксперты приводят в пример CVE-2022-1388, критическую уязвимость удаленного выполнения команд без аутентификации, влияющей на продукты F5 BIG-IP. Она была раскрыта 4 мая 2022 года, а через десять часов было зафиксировано 2552 попытки сканирования и эксплуатации.
Согласно данным, собранным Palo Alto, наиболее уязвимыми для доступа к сети в первом полугодии 2022 года являются цепочки эксплойтов ProxyShell, на долю которых приходится 55% от общего количества зарегистрированных инцидентов. ProxyShell — это атака, в которой используются три уязвимости, отслеживаемые как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.
Log4Shell занимает второе место с 14%, разные CVE SonicWall – третье с 7%, ProxyLogon – четвертое с 5%, в то время как RCE у Zoho ManageEngine ADSelfService Plus была использована в 3% случаев.
Как показывает статистика, львиная доля в объеме эксплуатации принадлежит старым уязвимостям.
В результате лучше защищенные системы становятся мишенью атак нулевого дня или атак, которые разворачиваются сразу после обнаружения уязвимостей.
По данным Unit 42, использование уязвимостей программного обеспечения для первичного проникновения в сеть составляет примерно одну треть всех используемых методов.
В 37% случаев фишинг являлся самым успешным способом получения первичного доступа. Еще в 15% случаев хакеры попадали в сети посредством перебора или использования учетных данных.
Эксперты рекомендуют ограничивать доступ корпоративных устройств к Интернету или предоставлять его только через VPN или другие шлюзы безопасности. Ограничивая доступ к серверам, администраторы не только снижают риск эксплойтов, но и получают дополнительное время для обновления безопасности.
Ранее стало известно, что сотрудник площадки для выплат вознаграждений этичным хакерам за поиски уязвимостей HackerOne незаконно продавал отчеты белых хакеров пострадавшим от багов компаниям-разработчикам ПО. В результате некоторые партнеры HackerOne дважды заплатили за те же уязвимости — сначала белым хакерам по багбаунту, а затем инсайдеру.