80% хакеров знают о CVE до их публикации. Готовы ли вы к атаке?

GreyNoise CVE Google Project Zero Palo Alto Fortinet Ivanti уязвимости всплески активности
80% хакеров знают о CVE до их публикации. Готовы ли вы к атаке?
GreyNoise CVE Google Project Zero Palo Alto Fortinet Ivanti уязвимости всплески активности

:Новый способ предсказания атак может спасти вашу компанию от взлома.

image

Команда GreyNoise обнаружила тревожную закономерность: в 80% случаев перед официальной публикацией новых уязвимостей (CVE) наблюдаются всплески подозрительной активности в интернете. Это не совпадения и не случайные колебания — за аномалиями в сетевом трафике скрываются повторяющиеся и статистически обоснованные сигналы, указывающие на готовящуюся к публикации брешь в защите.

Анализ основывался на массиве данных, собранных через глобальную сетевую систему наблюдения GreyNoise — Global Observation Grid — начиная с сентября 2024 года. Методика была построена на строгих количественных порогах, исключающих манипуляции и подгонку под желаемый результат. Из миллиона сигналов выбрано 216 всплесков, прошедших фильтрацию на предмет шума, неоднозначности и низкого качества, и все они связаны с восемью вендорами, поставляющими устройства на границе корпоративных сетей.

Оказалось, что в половине этих случаев новая уязвимость становилась известной в течение трёх недель после аномальной активности, а в 80% — не позднее шести недель. Особенно выраженной оказалась связь между всплесками и уязвимостями в продуктах компаний Ivanti, SonicWall, Palo Alto Networks и Fortinet. Менее предсказуемыми оказались Cisco, Citrix и MikroTik, но и среди них прослеживались определённые тенденции.

Типичное поведение злоумышленников в таких ситуациях включает агрессивное сканирование, подбор паролей и попытки эксплуатации старых, давно известных уязвимостей. Однако в действительности эти атаки редко направлены на реальные взломы. Гораздо чаще это разведка — способ найти уязвимые цели, чтобы позднее применить уже неизвестные эксплойты, появляющиеся сразу после публикации новой CVE.

GreyNoise подчёркивает, что большинство этих атак не требует технических новшеств. Напротив, злоумышленники сознательно используют устаревшие эксплойты, чтобы определить, какие системы доступны извне и каков уровень их защиты. Такой подход помогает выявить потенциальные цели и подготовить почву для использования новейших атакующих инструментов уже после выхода очередного бюллетеня.

Традиционно защитные меры включаются лишь после публикации CVE. Но GreyNoise предлагает изменить этот подход. Если пики в активности так тесно связаны с будущими уязвимостями, они могут служить индикатором раннего предупреждения. Это даёт системным администраторам шанс подготовиться заранее — усилить мониторинг, изолировать наиболее уязвимые узлы и ограничить доступ из подозрительных подсетей. Даже если пока нет информации о конкретной угрозе, сам факт всплеска может служить сигналом к действию.

Компания также рекомендует оперативно блокировать IP-адреса, с которых идут попытки сканирования, особенно если они нацелены на устаревшие или давно закрытые уязвимости. Такие атаки нельзя расценивать как неудачные — напротив, они показывают, что объект уже попал в поле зрения. А значит, дальнейшие попытки — дело времени.

На фоне этих открытий Google Project Zero тоже обновил подход к информированию о найденных уязвимостях. Теперь компания будет делиться фактом обнаружения, названием продукта, датой и сроком раскрытия — в течение недели после нахождения. Это не включает технических подробностей и не несёт риска раскрытия эксплойтов, но помогает сократить разрыв между выявлением и исправлением.

Таким образом, наступательная сторона ИБ уже давно использует разведку до релизов CVE. GreyNoise предлагает использовать её же в обратном направлении — для обороны. В мире, где атаки начинаются до того, как кто-либо узнает о проблеме, такие проактивные меры становятся не просто желательными, а необходимыми.