Лавина уязвимостей: 2024 год бьет рекорды по числу киберугроз
Aqua Nautilus приводит 28 000 причин для беспокойства в своем отчете.
В сфере кибербезопасности наблюдается тревожная тенденция: число выявленных уязвимостей бьет все рекорды. Согласно Национальной базе данных (NVD), в 2023 году было зарегистрировано 28 821 брешь в безопасности. Еще более настораживает тот факт, что в 2024 году этот показатель может оказаться еще больше - уже к сентябрю количество обнаруженных уязвимостей превысило 28 000.
Специалисты связывают такую статистику с несколькими факторами. Широкое применение открытого программного обеспечения позволяет большему количеству разработчиков и исследователей тщательно изучать код. Повышение осведомленности о киберугрозах среди организаций и экспертов приводит к увеличению числа сообщений об инцидентах. Кроме того, современные системы становятся все более сложными, что создает дополнительные возможности для появления брешей.
Однако рост числа выявленных дефектов не решает всех проблем. В начале 2024 года NVD столкнулась с серьезным замедлением в анализе уязвимостей. это привело к задержкам в обновлении данных, от которых зависят многие инструменты сканирования. в результате многие организации оказались более уязвимыми для потенциальных атак.
Исследовательская команда Aqua Nautilus обнаружила еще одну проблему: задержку в публичном раскрытии информации о слабых местах в проектах с открытым исходным кодом. иногда может пройти до нескольких сотен дней, прежде чем информация о бреши будет опубликована и исправлена. это создает опасное "окно", в течение которого злоумышленники недостатки могут обнаружить хакеры.
Aqua Nautilus также ввела новые категории проблем безопасности: "Half-Day" и "0.75-Day". уязвимости типа "Half-Day" известны разработчикам, но еще не были официально опубликованы. бреши категории "0.75-Day" имеют исправление, но еще не получили идентификатора CVE или CPE, что делает их невидимыми для инструментов сканирования.
Исследователи привели два показательных примера: проблема Log4Shell (CVE-2021-44228) и дефект в Binwalk (CVE-2022-4510) . В случае с Log4Shell период "Half-Day" длился 6 дней, а период "0.75-Day" - 4 дня до официального присвоения CVE. Для бреши в Binwalk период "Half-Day" продлился 98 дней.
Фокус атак у киберпреступников также меняется. Если в 2022 году основной целью была брешь Log4Shell , то к концу 2023 года их внимание переключилось на проблему в Grafana (CVE-2021-43798) .
Grafana - это инструмент с открытым исходным кодом для визуализации данных, широко используемый в облачных средах. дефект позволяет хакерам читать произвольные файлы из файловой системы, что может привести к утечке конфиденциальных данных. Вот список наиболее часто эксплуатируемых проблем безопасности:
| CVE | Платформа | % | CVSS | EPSS |
|---|---|---|---|---|
| CVE-2021-43798 | Grafana | 24.91% | 7.5 | 97.5% |
| CVE-2021-44228 | Log4Shell | 23.91% | 10 | 96.69% |
| CVE-2002-1149 | phpinfo.php | 6.71% | N/A | 55.48% |
| CVE-2018-11776 | Apache Struts | 5.39% | 8.1 | 97.53% |
| CVE-2023-32315 | Openfire | 4.74% | 7.5 | 97.02% |
| CVE-2023-38646 | Metabase | 3.62% | 9.8 | 88.91% |
| CVE-2002-0953 | globals.php | 3.55% | N/A | 2.76% |
| CVE-2022-0543 | Redis | 3.00% | 10 | 97.20% |
| CVE-2020-2551 | Oracle WebLogic | 0.95% | 9.8 | 97.54% |
| CVE-2014-6271 | Shellshock | 0.94% | 9.8 | 97.37% |
Исследование honeypots показало, что злоумышленники стали быстрее эксплуатировать новые бреши. например, недавние проблемы в Openfire и RocketMQ были использованы в атаках всего через одну-две недели после их раскрытия.
Усиливаются атаки на цепочки поставок программного обеспечения. новые слабые места в таких инструментах, как curl и libcurl, а также эксплуатация свежих брешей вредоносным ПО Kinsing подчеркивают постоянные риски в цепочке поставок ПО.
Другие примеры атак на цепочки поставок включают критические дефекты в Jenkins Server, ведущие к удаленному выполнению кода (RCE), и распространение вредоносного ПО через путаницу в зависимостях PyTorch.
Для борьбы с растущим числом проблем безопасности эксперты рекомендуют ряд мер. Среди них - использование автоматизированного сканирования кода, применение технологий искусственного интеллекта и машинного обучения для обнаружения аномалий в репозиториях кода.
Вот полный список рекомендаций:
- Разработайте стратегию многоуровневой защиты: как упоминалось ранее, принятие многоуровневого подхода к безопасности необходимо для комплексной защиты вашей среды. это включает в себя реализацию мощных средств контроля во время выполнения для предотвращения атак, которые могут использовать существующие или нулевые бреши, применяя такие возможности, как поведенческое обнаружение и облачное обнаружение и реагирование (CDR).
- Обнаруживайте и исправляйте проблемы на ранних этапах: используйте надежный облачный сканер безопасности для смещения влево и интеграции автоматизированного сканирования в жизненный цикл разработки программного обеспечения. раннее выявление известных дефектов и других рисков в ваших образах контейнеров может значительно уменьшить поверхность атаки, которую могут использовать злоумышленники.
- Используйте риск-ориентированный подход для приоритизации и устранения слабых мест: сосредоточьтесь на проблемах, представляющих наибольший риск, учитывая контекстуальные факторы, такие как достижимость, EPSS, активно работающие пакеты, доступные эксплойты и другие. это помогает в выявлении и устранении дефектов с наивысшим приоритетом.
- Предотвращайте попадание критических проблем в производственную среду: настройте политики обеспечения для определения приемлемого уровня риска для развертывания образов контейнеров, что помогает уменьшить поверхность атаки и предотвращает попадание брешей в производство.
- Смягчайте последствия дефектов во время выполнения: закройте пути эксплуатации и векторы атак для проблем, которые нельзя немедленно исправить, применяя компенсирующие меры контроля, такие как vShield, виртуальный патч, обеспечивающий немедленную защиту.