Хакеры начали искать серверы Exchange уже через 5 минут после сообщения о 0Day-уязвимостях

Специалисты из компании Palo Alto Networks рассказали , что обычно злоумышленники быстро стремятся найти и использовать новые уязвимости. В период с января по март нынешнего года эксперты зафиксировали случаи, когда преступники начинали искать уязвимые устройства уже через 15 минут после появления сообщений о новой критической уязвимости, доступной для удаленного использования. В отдельных случаях хакеры действуют еще быстрее. Например, преступники начали сканирование Сети на предмет уязвимых серверов Microsoft Exchange в течение пяти минут после сообщения Microsoft о выявленных проблемах ProxyLogon .

Для сравнения, крупным предприятиям требуется примерно 12 часов для выявления уязвимых систем в своих средах, при условии, что они осведомлены обо всех своих активах. По словам экспертов, злоумышленники круглосуточно занимаются выявлением уязвимых систем, которые могут предоставить им доступ к корпоративным сетям. Мониторинг 50 миллионов IP-адресов, связанных с 50 глобальными предприятиями (1% глобального пространства IPv4), показал, что в обычный день такое сканирование выполняется каждый час.

В глобальных корпоративных сетях дважды в день выявляются новые серьезные уязвимости, в том числе критические проблемы удаленного доступа, 0Day-уязвимости, проблемы в таких продуктах, как серверы Exchange и балансировщики нагрузки F5, и незащищенные серверы баз данных.

По словам специалистов, основная проблема безопасности связана с протоколом удаленного рабочего стола (RDP), на который приходится примерно треть (32%) выявленных проблем. Просроченные сертификаты, некорректная конфигурация баз данных, уязвимости нулевого дня и небезопасный удаленный доступ по различным протоколам также были главными проблемами в течение первых трех месяцев года.

Как отметили исследователи, большинство опасных проблем, выявленных в крупных компаниях, связаны с облачной инфраструктурой (79% по сравнению с 21% для локальной сети).