Согласно отчёту Palo Alto Unit 42 о реагировании на инциденты за 2022 год, хакеры постоянно отслеживают доски объявлений поставщиков программного обеспечения, чтобы брать оттуда информацию о новых уязвимостях. Она оперативно используется для первоначального доступа к корпоративной сети или для удалённого выполнения кода.
У системных администраторов остаётся всё меньше времени на исправление обнаруженных уязвимостей. В новом отчёте говорится, что злоумышленники сканируют уязвимые конечные точки в течение 15 минут после публикации новой CVE.
Поскольку сканирование не требует особых усилий, даже низкоквалифицированные злоумышленники могут использовать этот метод в поисках уязвимых конечных точек и продавать свои результаты в даркнете более опытным хакерам.
Затем уже в течение нескольких часов происходят первые активные попытки эксплуатации уязвимостей, часто затрагивающие системы, у которых нет возможности установить исправление.
Эксперты приводят в качестве примера CVE-2022-1388, критическую уязвимость удалённого выполнения команд без аутентификации, влияющую на продукты F5 BIG-IP. Она была раскрыта 4 мая 2022 года, а спустя десять часов было зафиксировано 2552 попытки сканирования и эксплуатации.
Согласно данным, собранным Palo Alto, наиболее используемыми уязвимостями для доступа к сети в первом полугодии 2022 года являются цепочки эксплойтов «ProxyShell», на долю которых приходится 55% от общего числа зарегистрированных инцидентов. ProxyShell — это атака, в которой используются три уязвимости, отслеживаемые как CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207.
Log4Shell находится на втором месте с 14%, различные CVE SonicWall — на третьем с 7%, ProxyLogon — на четвёртом с 5%, в то время как RCE в Zoho ManageEngine ADSelfService Plus была использована в 3% случаев.
Как показывает статистика, львиная доля в объёме эксплуатации принадлежит относительно старым уязвимостям.
В итоге лучше защищённые системы становятся мишенью атак нулевого дня или атак, которые разворачиваются сразу после обнаружения уязвимостей.
По данным Unit 42, использование уязвимостей программного обеспечения для первоначального проникновения в сеть составляет примерно одну треть от всех используемых методов. В 37% случаев фишинг был предпочтительным способом получения начального доступа. Ещё в 15% случаев хакеры проникали в сети с помощью перебора или использования скомпрометированных учётных данных.
Эксперты советуют ограничивать доступ корпоративных устройств к Интернету или давать его только через VPN или другие шлюзы безопасности. Ограничивая доступ к серверам, администраторы не только снижают риск эксплойтов, но и получают дополнительное время для применения обновлений безопасности.
Ранее стало известно, что сотрудник площадки для выплат вознаграждений этичным хакерам за поиски уязвимостей HackerOne незаконно продавал отчеты белых хакеров «пострадавшим» от багов компаниям-разработчикам ПО. В итоге некоторые партнеры HackerOne дважды заплатили за одни и те же уязвимости — сначала белым хакерам по багбаунти, а потом инсайдеру.
