Патчи не успевают: хакеры эксплуатируют уязвимости быстрее, чем их исправляют

В 2024 году злоумышленники не просто использовали уязвимости, они автоматизировали их эксплуатацию в промышленных масштабах, превращая интернет в среду для массовых атак.

Атаки начинались буквально через часы после раскрытия новых уязвимостей. При этом 40% эксплуатируемых уязвимостей существовали не менее четырех лет, а некоторые восходили еще к 1990-м годам. Группы, занимающиеся программами-вымогателями, активно использовали почти 30% уязвимостей из списка KEV (Known Exploited Vulnerabilities), отслеживаемых GreyNoise.

GreyNoise зафиксировала активное сканирование интернета и попытки эксплуатации уязвимостей с тысяч IP-адресов, что подтверждает: скорость атак опережает возможности защиты.

Наиболее значимые атаки 2024 года

Одной из самых активно эксплуатируемых уязвимостей 2024 года стала проблема в домашних интернет-роутерах. Она позволила создать масштабные ботнеты, используемые в кибератаках.

Среди наиболее часто атакуемых уязвимостей остаются и давно известные. Злоумышленники продолжают эксплуатировать публично раскрытые уязвимости, некоторые из которых были обнаружены еще в прошлом веке.

GreyNoise зафиксировала эксплуатацию ряда уязвимостей еще до их включения в каталог KEV Агентства по кибербезопасности и защите инфраструктуры США (CISA). Это подчеркивает важность оперативного реагирования и получения актуальной информации о киберугрозах.

28% уязвимостей из списка KEV, отслеживаемых GreyNoise, активно использовались группами, распространяющими программы-вымогатели, что делает массовую эксплуатацию уязвимостей ключевым инструментом в финансово мотивированных атаках.

В мае 2024 года было зафиксировано масштабное событие — более 12 000 уникальных IP-адресов участвовали в атаке, нацеленной на устройства на базе Android.

Почему это угроза прямо сейчас

Традиционные стратегии обновления не успевают за атаками — киберпреступники автоматизируют эксплуатацию уязвимостей быстрее, чем компании успевают оценить, приоритизировать и внедрить исправления.

Ключевые риски:

• Массовая эксплуатация уязвимостей развивается быстрее, чем традиционные процессы киберзащиты.
• Организациям необходима не просто система оповещений, а инструменты, предоставляющие информацию в реальном времени.
• Группы, распространяющие программы-вымогатели, автоматизируют атаки, делая уязвимости основным способом первоначального проникновения в системы.
• Домашние роутеры и устройства IoT все чаще становятся целями атак, а организации зачастую не учитывают эти потенциальные векторы угроз.

Самые активные атаки на уязвимости в 2024 году

Злоумышленники не ограничиваются эксплуатацией новых уязвимостей. Многие из наиболее атакуемых проблем остаются известными уже много лет, что заставляет пересмотреть традиционные подходы к управлению исправлениями.

GreyNoise зафиксировала наиболее часто используемые уязвимости:

• CVE-2018-10561 (GPON Router Worm) – 96 042 уникальных IP
• CVE-2014-8361 (Realtek Miniigd UPnP Worm) – 41 522 уникальных IP
• CVE-2016-6277 (NETGEAR Command Injection) – 40 597 уникальных IP
• CVE-2023-30891 (Tenda AC8 Router Exploit) – 29 620 уникальных IP
• CVE-2016-20016 (MVPower CCTV DVR RCE) – 17 496 уникальных IP

Эти уязвимости активно использовались на протяжении всего года в ходе кампаний по массовому сканированию интернета, для построения ботнетов и в атаках с применением программ-вымогателей.

GreyNoise предупреждает: массовая эксплуатация уязвимостей становится не просто проблемой нулевых дней (zero-day), а системным вызовом, охватывающим как новые, так и старые уязвимости. Как отметил основатель GreyNoise Эндрю Моррис, злоумышленники все меньше заботятся о баллах CVSS или списках KEV — они просто сканируют интернет в поисках открытых целей.

В 2025 году защита от массовых атак потребует более оперативного реагирования и использования данных в реальном времени, а не традиционных стратегий обновления.