Aqua Nautilus приводит 28 000 причин для беспокойства в своем отчете.
В сфере кибербезопасности наблюдается тревожная тенденция: число выявленных уязвимостей бьет все рекорды. Согласно Национальной базе данных (NVD), в 2023 году было зарегистрировано 28 821 брешь в безопасности. Еще более настораживает тот факт, что в 2024 году этот показатель может оказаться еще больше - уже к сентябрю количество обнаруженных уязвимостей превысило 28 000.
Специалисты связывают такую статистику с несколькими факторами. Широкое применение открытого программного обеспечения позволяет большему количеству разработчиков и исследователей тщательно изучать код. Повышение осведомленности о киберугрозах среди организаций и экспертов приводит к увеличению числа сообщений об инцидентах. Кроме того, современные системы становятся все более сложными, что создает дополнительные возможности для появления брешей.
Однако рост числа выявленных дефектов не решает всех проблем. В начале 2024 года NVD столкнулась с серьезным замедлением в анализе уязвимостей. это привело к задержкам в обновлении данных, от которых зависят многие инструменты сканирования. в результате многие организации оказались более уязвимыми для потенциальных атак.
Исследовательская команда Aqua Nautilus обнаружила еще одну проблему: задержку в публичном раскрытии информации о слабых местах в проектах с открытым исходным кодом. иногда может пройти до нескольких сотен дней, прежде чем информация о бреши будет опубликована и исправлена. это создает опасное "окно", в течение которого злоумышленники недостатки могут обнаружить хакеры.
Aqua Nautilus также ввела новые категории проблем безопасности: "Half-Day" и "0.75-Day". уязвимости типа "Half-Day" известны разработчикам, но еще не были официально опубликованы. бреши категории "0.75-Day" имеют исправление, но еще не получили идентификатора CVE или CPE, что делает их невидимыми для инструментов сканирования.
Исследователи привели два показательных примера: проблема Log4Shell (CVE-2021-44228) и дефект в Binwalk (CVE-2022-4510) . В случае с Log4Shell период "Half-Day" длился 6 дней, а период "0.75-Day" - 4 дня до официального присвоения CVE. Для бреши в Binwalk период "Half-Day" продлился 98 дней.
Фокус атак у киберпреступников также меняется. Если в 2022 году основной целью была брешь Log4Shell , то к концу 2023 года их внимание переключилось на проблему в Grafana (CVE-2021-43798) .
Grafana - это инструмент с открытым исходным кодом для визуализации данных, широко используемый в облачных средах. дефект позволяет хакерам читать произвольные файлы из файловой системы, что может привести к утечке конфиденциальных данных. Вот список наиболее часто эксплуатируемых проблем безопасности:
CVE | Платформа | % | CVSS | EPSS |
---|---|---|---|---|
CVE-2021-43798 | Grafana | 24.91% | 7.5 | 97.5% |
CVE-2021-44228 | Log4Shell | 23.91% | 10 | 96.69% |
CVE-2002-1149 | phpinfo.php | 6.71% | N/A | 55.48% |
CVE-2018-11776 | Apache Struts | 5.39% | 8.1 | 97.53% |
CVE-2023-32315 | Openfire | 4.74% | 7.5 | 97.02% |
CVE-2023-38646 | Metabase | 3.62% | 9.8 | 88.91% |
CVE-2002-0953 | globals.php | 3.55% | N/A | 2.76% |
CVE-2022-0543 | Redis | 3.00% | 10 | 97.20% |
CVE-2020-2551 | Oracle WebLogic | 0.95% | 9.8 | 97.54% |
CVE-2014-6271 | Shellshock | 0.94% | 9.8 | 97.37% |
Исследование honeypots показало, что злоумышленники стали быстрее эксплуатировать новые бреши. например, недавние проблемы в Openfire и RocketMQ были использованы в атаках всего через одну-две недели после их раскрытия.
Усиливаются атаки на цепочки поставок программного обеспечения. новые слабые места в таких инструментах, как curl и libcurl, а также эксплуатация свежих брешей вредоносным ПО Kinsing подчеркивают постоянные риски в цепочке поставок ПО.
Другие примеры атак на цепочки поставок включают критические дефекты в Jenkins Server, ведущие к удаленному выполнению кода (RCE), и распространение вредоносного ПО через путаницу в зависимостях PyTorch.
Для борьбы с растущим числом проблем безопасности эксперты рекомендуют ряд мер. Среди них - использование автоматизированного сканирования кода, применение технологий искусственного интеллекта и машинного обучения для обнаружения аномалий в репозиториях кода.
Вот полный список рекомендаций:
5778 К? Пф! У нас градус знаний зашкаливает!