Згідно дослідження Palo Alto Unit 42 про реагування на інциденти за 2022 рік, хакери постійно відстежують оголошення постачальників програмного забезпечення щодо інформації про нові вразливості. Вони оперативно використовують її для початкового доступу до корпоративної мережі або для віддаленого виконання коду.
У системних адміністраторів залишається все менше часу на виправлення виявлених вразливостей. У новому звіті йдеться про те, що зловмисники сканують вразливі кінцеві точки протягом 15 хвилин після публікації нових даних (Common Vulnerabilities and Exposures — CVE).
Оскільки сканування не потребує особливих зусиль, навіть низькокваліфіковані зловмисники можуть використовувати цей метод у пошуках вразливих кінцевих точок та продавати свої результати в даркнеті досвідченішим хакерам.
Потім уже протягом кількох годин відбуваються перші активні спроби експлуатації вразливостей, які часто зачіпають ті системи, які не мають можливості встановити оновлення з виправленням помилок.
Експерти наводять як приклад CVE-2022-1388, критичну вразливість віддаленого виконання команд без автентифікації, що впливає на продукти F5 BIG-IP. Вона була розкрита 4 травня 2022 року, а через десять годин було зафіксовано 2552 спроби сканування та експлуатації.
Згідно з даними, зібраними Palo Alto, найбільш уразливими для доступу до мережі в першому півріччі 2022 року є ланцюжки експлойтів «ProxyShell», на частку яких припадає 55% від загальної кількості зареєстрованих інцидентів. ProxyShell — це атака, в якій використовуються три вразливості, що відстежуються як CVE-2021-34473, CVE-2021-34523 та CVE-2021-31207.
Log4Shell посідає друге місце з 14%, різні CVE SonicWall — третє з 7%, ProxyLogon — четверте з 5%, у той час як RCE у Zoho ManageEngine ADSelfService Plus була використана у 3% випадків.
Як показує статистика, левова частка в обсязі експлуатації належить старим вразливостям.
У результаті краще захищені системи стають мішенню атак нульового дня або атак, які розгортаються відразу після виявлення вразливостей.
За даними Unit 42, використання вразливостей програмного забезпечення для початкового проникнення в мережу становить приблизно одну третину від усіх методів, що використовуються.
У 37% випадків фішинг був найуспішнішим способом отримання початкового доступу. Ще в 15% випадків хакери потрапляли в мережі за допомогою перебору або використання облікових даних.
Експерти радять обмежувати доступ корпоративних пристроїв до Інтернету або надавати його лише через VPN чи інші шлюзи безпеки. Обмежуючи доступ до серверів, адміністратори не тільки знижують ризик експлойтів, але й отримують додатковий час для оновлень безпеки.
Раніше стало відомо, що співробітник майданчика для виплат винагород етичним хакерам за пошуки вразливостей HackerOne незаконно продавав звіти білих хакерів компаніям-розробникам ПЗ, що постраждали від багів. У результаті деякі партнери HackerOne двічі заплатили за ті самі вразливості — спочатку білим хакерам по багбаунті, а потім інсайдеру.
