На хакерите са нужни само 22 минути, за да използват

На хакерите са нужни единствено 22 минути, с цел да употребяват демонстрационни експлойти в действителни кибератаки (снимка: CC0 Public Domain)

Хакерите трансформират демонстрационни експлойти (PoC) в злотворен програмен продукт в границите на двайсетина минути след появяването им, сочи изследване на световната услуга  Cloudflare, коeто изследва дейното търсене на уязвими запаси и светкавичната промяна на демонстрационни експлойти в действителни офанзиви.

Проучването обгръща интервала сред май 2023 година и март 2024 година и се концентрира главно върху нововъзникващите трендове в пейзажа на заканите. Cloudflare дава CDN услуги, DDoS отбрана, предпазен достъп до запаси и DNS сървъри. Днес през нейните мрежи минават 57 милиона HTTP поръчки в секунда.

Интензивно търсене на уязвимости

Авторите на разбора означават, че разкриването на всяка накърнимост, на която е присвоен CVE показател (база данни с добре известни уязвимости в осведомителната сигурност), е последвано от интензивно сканиране на мрежата в търсене на уязвими запаси, както и опити за инжектиране на команди и преобразяване на оповестените PoC експлойти в средства за злонамерени офанзиви.

Най-често през този интервал нападателите се пробват да употребяват уязвимости като CVE-2023-50164 и CVE-2022-33891 в продуктите на Apache, CVE-2023-29298, CVE-2023-38203 в CVE-2023-26360 в ColdFusion и CVE -2023 -35082 в MobileIron.

Особено ослепителен образец за това какъв брой бързо атакуващите реагират на разкриването на нови уязвимости беше грешката CVE-2024-27198, която разрешава заобикаляне на оторизацията в JetBrains TeamCity. Изминаха единствено 22 минути сред публикуването на демонстрационния експлойт и първия опит за практическото му потребление в офанзива.

Авторите на проучването настояват, че единственият метод за битка с такава злонамерена успеваемост е потреблението на изкуствен интелект за формулиране на нови правила за разкриване и блокиране на експлойти.

Нечовешка скорост

„ Скоростта, с която се експлоатират разпознатите CVE уязвимости, надвишава човешката дарба да формулира WAF правила или да основава и разгласява кръпки ”, разяснява Cloudflare.

„ Същото важи и за нашия личен екип от анализатори, които поддържат WAF Managed Ruleset: трябваше да комбинираме човешки подписи и машинно образование, с цел да реализираме най-благоприятен баланс сред подправени позитивни резултати и сърдечност ”, допълват от компанията.

Според анализаторите на отчета, някои кибергрупи се специализират в избрани категории CVE и съответни артикули и това им е разрешило да разработят способи за бързо потребление на нови уязвимости.

Все повече DDoS офанзиви

Според анализаторите, 6,8% от целия мрежов трафик през днешния ден са DDoS офанзиви, ориентирани към приложения и услуги. В съпоставяне със същия интервал на 2022-2023 година, общият размер на офанзивите се е нараснал с 0,8%, което в безусловно изражение е доста доста.

Cloudflare означи, че по време на най-мащабните офанзиви злонамереният трафик съставлява до 12% от всички предадени данни.

DDoS офанзивите са директна последица от небрежното отношение на операторите на всевъзможен тип мрежово съоръжение към тяхната отбрана: основата на DDoS ботнетите са сървъри, рутери, вградени устройства и интернет на нещата със слаби пароли, неправилни настройки за сигурност и неотстранени уязвимости, споделят експертите.

И въпреки че DDoS офанзивите стават все по-разпространени, не се следят позитивни промени в тази област. Само когато по-голямата част от мрежовото съоръжение бъде снабдено с функционалности за автоматизирано актуализиране на софтуера, ще има вяра за понижаване на DDoS трафика.

През първото тримесечие на 2024 година системите на Cloudflare са блокирали приблизително по 209 милиарда закани на ден. Увеличението е 86,6% по отношение на същия интервал на 2023 година, което е доста сериозен растеж на заканите.