Хакерам нужно всего 22 минуты, чтобы применить демонстрационные эксплойты в реальных кибератаках
Демонстрационные эксплойты превращают во вредоносы в течение двух десятков минут после их появления. 7% мирового трафика приходится на DDoS-атаки.
Создать вредонос за 22 минуты
Хакеры делают из демонстрационных эксплойтов (PoC) вредоносы в течение двух десятков минут после их появления. Об активном поиске уязвимых ресурсов и молниеносном превращении демонстрационных эксплойтов в реальные, компания Cloudflare рассказала в новом исследовании, опубликованном изданием «Безопасность приложений». Исследование охватывает период между маем 2023 г. и мартом 2024 г. и затрагивает в основном новые тенденции в ландшафте угроз.
Cloudflare – американская компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. На сегодняшний день через ее сети проходят 57 млн HTTP-запросов в секунду.
Авторы аналитической публикации отмечают, что за раскрытием каждой уязвимости, которой присваивается индекс CVE (база данных общеизвестных уязвимостей информационной безопасности), следует интенсивное сканирование сети в поисках уязвимых ресурсов, а также попытки произвести инъекцию команд и превратить опубликованные PoC-эксплойты в средства злонамеренной эксплуатации.
Наиболее часто в указанный период злоумышленники пытались эксплуатировать такие уязвимости как CVE-2023-50164 и CVE-2022-33891 в продуктах Apache, CVE-2023-29298, CVE-2023-38203 в CVE-2023-26360 в ColdFusion, and CVE-2023-35082 в MobileIron.
Особенно ярким примером того, как оперативно злоумышленники реагируют на раскрытие новых уязвимостей, стал баг CVE-2024-27198, позволяющий обходить авторизацию в JetBrains TeamCity. Между публикацией демонстрационного эксплойта и первой попыткой его практического использования в атаке прошло всего 22 минуты.
Авторы исследования утверждают, что единственный способ противостоять такой оперативности – использовать ИИ для формирования новых правил обнаружения и блокировки эксплойтов.
Нечеловеческая скорость
«Такая скорость, с которой начинается эксплуатация выявленных CVE-уязвимостей, превосходит человеческие возможности по формированию WAF-правил или создания и публикации патчей, – говорится в публикации Cloudflare. – Это касается и нашей собственной команды аналитиков, которые занимаются поддержкой свода правил WAF Managed Ruleset: нам пришлось комбинировать сигнатуры, выделенные людьми, и подход на основе машинного обучения, чтобы достичь оптимального баланса между ложными срабатываниями и скоростью реагирования».
Как указали аналитики, некоторые кибергруппировки специализируются на определенных категориях CVE и конкретных продуктах, и это позволило им выработать способы молниеносной эксплуатации новых уязвимостей.
DDoS-атак все больше
В публикации отмечено также, что 6,8% всего сетевого траффика сегодня – это DDoS-атаки, нацеленные на приложения и сервисы.
По сравнению с аналогичным периодом 2022-2023 гг. общий объем атак вырос на 0,8%, что в абсолютных величинах – очень существенно. В Cloudflare отметили также, что в ходе наиболее масштабных атак на вредоносный трафик приходится до 12% всех передаваемых данных.
«DDoS-атаки – это прямое следствие небрежного отношения операторов всевозможного сетевого оборудования к их защите: основу DDoS-ботнетов составляют серверы, роутеры, встраиваемые устройства и интернет вещей со слабыми паролями, неправильными настройками безопасности и незакрытыми уязвимостями, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – И, учитывая, что DDoS-атаки становятся все более масштабными, никаких позитивных изменений в этой сфере не наблюдается. Только когда подавляющее большинство сетевого оборудования будет оснащено функциями автоматического обновления программных оболочек, появится надежда на снижение DDoS-трафика».
В публикации также указывается, что первом квартале 2024 г. системы Cloudflare блокировали в среднем 209 млрд угроз ежедневно. Прирост составил 86,6%, что намного больше в относительных величинах, если сравнивать с аналогичным периодом 2023 г.