Статистика 0Day-атак скрывает настоящую цифровую пандемию.
Аналитики Google Mandiant предупреждают о новой тенденции: хакеры все чаще обнаруживают и используют уязвимости нулевого дня в программном обеспечении. Специалисты исследовали 138 уязвимостей, выявленных в 2023 году, которые активно использовались в реальных атаках. Большинство из них (97) были эксплуатированы как zero-day, то есть до выпуска исправлений. Оставшиеся 41 ошибка использовались после выхода исправлений и классифицируются как n-day. Эксперты отметили, что в 2023 году разрыв между использованием zero-day и n-day заметно увеличился, что подчеркивает растущую популярность 0Day-атак.
Среднее время до первой эксплуатации уязвимости (Time-to-Exploit, TTE) в 2023 году снизилось до пяти дней. Это рекордный показатель за все время наблюдений. Для сравнения, в 2018 году на первую атаку уходило в среднем 63 дня, а в 2021-2022 годах показатель сократился до 32 дней. Быстрое сокращение TTE указывает на то, что злоумышленники успевают использовать уязвимости до того, как компании применяют соответствующие обновления.
Аналитики также указали на сложности при сборе данных. Даты первых атак не всегда раскрываются или сообщаются неточно — например, с указанием лишь примерного периода вроде «второй квартал 2023 года». Это затрудняет оценку реальных сроков. Mandiant подчеркивает, что реальное время до эксплуатации может быть короче, чем представленные данные.
Если в 2021-2022 годах соотношение zero-day и n-day оставалось стабильным на уровне 62% к 38%, то в 2023 году zero-day атаки составили уже 70%. Такой сдвиг связан не только с увеличением числа zero-day, но и с лучшими средствами обнаружения подобных уязвимостей. Ожидается, что эти изменения будут закрепляться в будущем, хотя прогнозы пока остаются осторожными.
В 2023 году более половины n-day уязвимостей подверглись атакам в течение первого месяца после выхода патча. 15% ошибок эксплуатировались уже в первые сутки, а 56% — в течение месяца. Примечательно, что практически все n-day уязвимости (95%) были использованы до 6 месяцев с момента исправления, что указывает на ускорение атаки на уязвимые системы.
Примеры успешных атак
Уязвимость CVE-2023-28121 (оценка CVSS: 9.8) в плагине WooCommerce Payments для WordPress стала примером того, как массовая эксплуатация началась спустя несколько месяцев после раскрытия ошибки. Первое использование уязвимости было зафиксировано только после выпуска удобного инструмента для атак, что позволило злоумышленникам проводить миллионы атак в день.
В противоположность этому, уязвимость CVE-2023-27997 (оценка CVSS: 9.8) в FortiOS вызвала широкий интерес сразу после обнаружения, но ее эксплуатация началась лишь спустя несколько месяцев. Сложность атак и дополнительные меры защиты системы сделали использование недостатка менее оперативным и более ограниченным по масштабу.
Mandiant отмечает расширение числа компаний, подвергшихся атакам. В 2023 году список уязвимых поставщиков увеличился на 17% по сравнению с 2021 годом. Традиционно лидирующие Microsoft, Apple и Google по-прежнему входят в число самых часто атакуемых компаний, однако их доля снизилась до менее чем 40%. Все чаще атакам подвергаются менее известные вендоры, что увеличивает разнообразие целей и усложняет защиту от угроз.
Mandiant подчеркивает, что, несмотря на рост числа zero-day атак, n-day уязвимости остаются актуальными. В будущем ожидается дальнейшее сокращение времени до эксплуатации, что вынуждает компании совершенствовать системы обнаружения и оперативно внедрять исправления. Повышение сложности инфраструктур также требует усиления мер контроля доступа и сегментации, чтобы минимизировать ущерб от успешных атак.
В Матрице безопасности выбор очевиден