На хакерите са нужни само 22 минути, за да използват демонстрационни експлойти в реални кибератаки (снимка: CC0 Public Domain)
Хакерите превръщат демонстрационни експлойти (PoC) в зловреден софтуер в рамките на двайсетина минути след появата им, сочи проучване на глобалната услуга Cloudflare, коeто изследва активното търсене на уязвими ресурси и светкавичната трансформация на демонстрационни експлойти в реални атаки.
Проучването обхваща периода между май 2023 г. и март 2024 г. и се фокусира основно върху нововъзникващите тенденции в пейзажа на заплахите. Cloudflare предоставя CDN услуги, DDoS защита, защитен достъп до ресурси и DNS сървъри. Днес през нейните мрежи преминават 57 милиона HTTP заявки в секунда.
Интензивно търсене на уязвимости
Авторите на анализа отбелязват, че разкриването на всяка уязвимост, на която е присвоен CVE индекс (база данни с добре известни уязвимости в информационната сигурност), е последвано от интензивно сканиране на мрежата в търсене на уязвими ресурси, както и опити за инжектиране на команди и превръщане на публикуваните PoC експлойти в средства за злонамерени атаки.
Най-често през този период нападателите се опитват да използват уязвимости като CVE-2023-50164 и CVE-2022-33891 в продуктите на Apache, CVE-2023-29298, CVE-2023-38203 в CVE-2023-26360 в ColdFusion и CVE -2023 -35082 в MobileIron.
Особено ярък пример за това колко бързо атакуващите реагират на разкриването на нови уязвимости беше грешката CVE-2024-27198, която позволява заобикаляне на оторизацията в JetBrains TeamCity. Изминаха само 22 минути между публикуването на демонстрационния експлойт и първия опит за практическото му използване в атака.
Авторите на изследването твърдят, че единственият начин за борба с такава злонамерена ефективност е използването на изкуствен интелект за формулиране на нови правила за откриване и блокиране на експлойти.
Нечовешка скорост
„Скоростта, с която се експлоатират идентифицираните CVE уязвимости, надвишава човешката способност да формулира WAF правила или да създава и публикува кръпки”, коментира Cloudflare.
„Същото важи и за нашия собствен екип от анализатори, които поддържат WAF Managed Ruleset: трябваше да комбинираме човешки подписи и машинно обучение, за да постигнем оптимален баланс между фалшиви положителни резултати и отзивчивост”, допълват от компанията.
Според анализаторите на доклада, някои кибергрупи се специализират в определени категории CVE и конкретни продукти и това им е позволило да разработят начини за бързо използване на нови уязвимости.
Все повече DDoS атаки
Според анализаторите, 6,8% от целия мрежов трафик днес са DDoS атаки, насочени към приложения и услуги. В сравнение със същия период на 2022-2023 г., общият обем на атаките се е увеличил с 0,8%, което в абсолютно изражение е много значително.
Cloudflare отбеляза, че по време на най-мащабните атаки злонамереният трафик представлява до 12% от всички предадени данни.
DDoS атаките са пряка последица от небрежното отношение на операторите на всякакъв вид мрежово оборудване към тяхната защита: основата на DDoS ботнетите са сървъри, рутери, вградени устройства и интернет на нещата със слаби пароли, неправилни настройки за сигурност и неотстранени уязвимости, казват специалистите.
И макар че DDoS атаките стават все по-разпространени, не се наблюдават положителни промени в тази област. Само когато по-голямата част от мрежовото оборудване бъде снабдено с функции за автоматично актуализиране на софтуера, ще има надежда за намаляване на DDoS трафика.
През първото тримесечие на 2024 г. системите на Cloudflare са блокирали средно по 209 милиарда заплахи дневно. Увеличението е 86,6% спрямо същия период на 2023 г., което е много сериозен ръст на заплахите.