Лавина уязвимостей: 2024 год бьет рекорды по числу киберугроз

Лавина уязвимостей: 2024 год бьет рекорды по числу киберугроз

Aqua Nautilus приводит 28 000 причин для беспокойства в своем отчете.

image

В сфере кибербезопасности наблюдается тревожная тенденция: число выявленных уязвимостей бьет все рекорды. Согласно Национальной базе данных (NVD), в 2023 году было зарегистрировано 28 821 брешь в безопасности. Еще более настораживает тот факт, что в 2024 году этот показатель может оказаться еще больше - уже к сентябрю количество обнаруженных уязвимостей превысило 28 000.

Специалисты связывают такую статистику с несколькими факторами. Широкое применение открытого программного обеспечения позволяет большему количеству разработчиков и исследователей тщательно изучать код. Повышение осведомленности о киберугрозах среди организаций и экспертов приводит к увеличению числа сообщений об инцидентах. Кроме того, современные системы становятся все более сложными, что создает дополнительные возможности для появления брешей.

Однако рост числа выявленных дефектов не решает всех проблем. В начале 2024 года NVD столкнулась с серьезным замедлением в анализе уязвимостей. это привело к задержкам в обновлении данных, от которых зависят многие инструменты сканирования. в результате многие организации оказались более уязвимыми для потенциальных атак.

Исследовательская команда Aqua Nautilus обнаружила еще одну проблему: задержку в публичном раскрытии информации о слабых местах в проектах с открытым исходным кодом. иногда может пройти до нескольких сотен дней, прежде чем информация о бреши будет опубликована и исправлена. это создает опасное "окно", в течение которого злоумышленники недостатки могут обнаружить хакеры.

Aqua Nautilus также ввела новые категории проблем безопасности: "Half-Day" и "0.75-Day". уязвимости типа "Half-Day" известны разработчикам, но еще не были официально опубликованы. бреши категории "0.75-Day" имеют исправление, но еще не получили идентификатора CVE или CPE, что делает их невидимыми для инструментов сканирования.

Исследователи привели два показательных примера: проблема Log4Shell (CVE-2021-44228) и дефект в Binwalk (CVE-2022-4510) . В случае с Log4Shell период "Half-Day" длился 6 дней, а период "0.75-Day" - 4 дня до официального присвоения CVE. Для бреши в Binwalk период "Half-Day" продлился 98 дней.

Фокус атак у киберпреступников также меняется. Если в 2022 году основной целью была брешь Log4Shell , то к концу 2023 года их внимание переключилось на проблему в Grafana (CVE-2021-43798) .

Grafana - это инструмент с открытым исходным кодом для визуализации данных, широко используемый в облачных средах. дефект позволяет хакерам читать произвольные файлы из файловой системы, что может привести к утечке конфиденциальных данных. Вот список наиболее часто эксплуатируемых проблем безопасности:

CVE Платформа % CVSS EPSS
CVE-2021-43798 Grafana 24.91% 7.5 97.5%
CVE-2021-44228 Log4Shell 23.91% 10 96.69%
CVE-2002-1149 phpinfo.php 6.71% N/A 55.48%
CVE-2018-11776 Apache Struts 5.39% 8.1 97.53%
CVE-2023-32315 Openfire 4.74% 7.5 97.02%
CVE-2023-38646 Metabase 3.62% 9.8 88.91%
CVE-2002-0953 globals.php 3.55% N/A 2.76%
CVE-2022-0543 Redis 3.00% 10 97.20%
CVE-2020-2551 Oracle WebLogic 0.95% 9.8 97.54%
CVE-2014-6271 Shellshock 0.94% 9.8 97.37%

Исследование honeypots показало, что злоумышленники стали быстрее эксплуатировать новые бреши. например, недавние проблемы в Openfire и RocketMQ были использованы в атаках всего через одну-две недели после их раскрытия.

Усиливаются атаки на цепочки поставок программного обеспечения. новые слабые места в таких инструментах, как curl и libcurl, а также эксплуатация свежих брешей вредоносным ПО Kinsing подчеркивают постоянные риски в цепочке поставок ПО.

Другие примеры атак на цепочки поставок включают критические дефекты в Jenkins Server, ведущие к удаленному выполнению кода (RCE), и распространение вредоносного ПО через путаницу в зависимостях PyTorch.

Для борьбы с растущим числом проблем безопасности эксперты рекомендуют ряд мер. Среди них - использование автоматизированного сканирования кода, применение технологий искусственного интеллекта и машинного обучения для обнаружения аномалий в репозиториях кода.

Вот полный список рекомендаций:

  • Разработайте стратегию многоуровневой защиты: как упоминалось ранее, принятие многоуровневого подхода к безопасности необходимо для комплексной защиты вашей среды. это включает в себя реализацию мощных средств контроля во время выполнения для предотвращения атак, которые могут использовать существующие или нулевые бреши, применяя такие возможности, как поведенческое обнаружение и облачное обнаружение и реагирование (CDR).
  • Обнаруживайте и исправляйте проблемы на ранних этапах: используйте надежный облачный сканер безопасности для смещения влево и интеграции автоматизированного сканирования в жизненный цикл разработки программного обеспечения. раннее выявление известных дефектов и других рисков в ваших образах контейнеров может значительно уменьшить поверхность атаки, которую могут использовать злоумышленники.
  • Используйте риск-ориентированный подход для приоритизации и устранения слабых мест: сосредоточьтесь на проблемах, представляющих наибольший риск, учитывая контекстуальные факторы, такие как достижимость, EPSS, активно работающие пакеты, доступные эксплойты и другие. это помогает в выявлении и устранении дефектов с наивысшим приоритетом.
  • Предотвращайте попадание критических проблем в производственную среду: настройте политики обеспечения для определения приемлемого уровня риска для развертывания образов контейнеров, что помогает уменьшить поверхность атаки и предотвращает попадание брешей в производство.
  • Смягчайте последствия дефектов во время выполнения: закройте пути эксплуатации и векторы атак для проблем, которые нельзя немедленно исправить, применяя компенсирующие меры контроля, такие как vShield, виртуальный патч, обеспечивающий немедленную защиту.

Наш канал горячее, чем поверхность Солнца!

5778 К? Пф! У нас градус знаний зашкаливает!

Подпишитесь и воспламените свой разум