Аналітики безпеки Google Mandiant попереджають про тривожну нову тенденцію, коли суб’єкти загроз демонструють кращу здатність виявляти та використовувати вразливості нульового дня у програмному забезпеченні. Як повідомляє BleepingComputer, зі 138 вразливостей, які активно використовувалися у 2023 році, 97 (70,3%) були використані як нульові дні.
Це означає, що зловмисники використовували недоліки в атаках до того, як постачальники, яких це стосується, дізналися про існування помилок або змогли їх виправити.
З 2020 до 2022 року співвідношення між n-днями (виправлені недоліки) та нульовими днями (виправлення відсутні) залишалося відносно стабільним і становило 4:6, але торік воно змінилося до 3:7.
У Google пояснили, що це пов’язано не зі зменшенням кількості n-днів, що використовуються, а скоріше зі збільшенням нульових днів і покращеною здатністю постачальників засобів безпеки виявляти їх.
Збільшення зловмисної активності та диверсифікація цільових продуктів також відображається на кількості постачальників, які постраждали від активно використовуваних недоліків. Їх кількість зросла у 2023 році до рекордних 56 із 44 у 2022 році та перевищує попередній рекорд у 48 постачальників у 2021 році.
Час, необхідний для використання (TTE) нещодавно виявленої (n-денної або 0-денної) вади, зараз скоротився до 5 днів. Для порівняння, у 2018–2019 роках ТТЕ становив 63 дні, а у 2021–2022 роках — 32 дні. Це давало системним адміністраторам достатньо часу, щоб спланувати застосування виправлень або впровадити засоби пом’якшення для захисту постраждалих систем.
Однак, оскільки TTE тепер зменшується до 5 днів, такі стратегії, як сегментація мережі, виявлення в реальному часі й термінове встановлення пріоритетів виправлень, стають набагато важливішими. Тому Google не бачить зв’язку між розкриттям експлойтів і TTE.
У 2023 році 75% експлойтів було оприлюднено до того, як почалося використання, а 25% — після того, як хакери вже використовували недоліки.
Два приклади, виділені у звіті, — це CVE-2023-28121 (плагін WordPress) і CVE-2023-27997 (Fortinet FortiOS).
У першому випадку експлуатація почалася через 3 місяці після розкриття й через 10 днів після публікації підтвердження концепції.
У випадку з FortiOS недолік майже відразу був використаний у публічних експлойтах, але перший випадок зловмисного використання було зафіксовано через 4 місяці.
Складність експлуатації, мотивація загрози, цільове значення та загальна складність атаки відіграють важливу роль у TTE, а пряма чи ізольована кореляція з доступністю PoC є помилковою, зазначили в Google.
Читайте також на ProIT, чому Google має відкрити платформу для сторонніх Android-застосунків.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
