Security

serulekenyseg
Forrás: 123rf.com

Új sérülékenység? Ennyi idő kell a hackernek az észleléstől a feltörésig

A nyilvánosságra hozott biztonsági rések foltozására még kevesebb idő jut ezután.  

A Palo Alto 2022-es „Unit 42 Incident Response Report” című jelentése arról számolt be, hogy a hackerek folyamatosan figyelik a szoftvergyártók online felületeit az új sebezhetőségi bejelentésekre várva. Ezutóbbi önmagában még nem is meglepő, az viszont már említésre méltó, hogy az újonnan bejelentett CVE-t (Common Vulnerabilities and Exposures) követően tizenöt percen belül már a vállalat hálózatába igyekeznek beférkőzni, és keresik a további sebezhető végpontokat.  

A 2022-es „Attack Surface Management Threat Report” megállapításai szerint a támadók jellemzően a CVE bejelentését követő 15 percen belül elkezdik a sebezhetőségek keresését - olvasható a kapcsolódó blogbejegyzésben, és mivel ez nem különösebben bonyolult, még az alacsonyabb képességégű támadók is bekapcsolódnak a folyamatba. A felfedezett további sérülékenységek a dark weben landolnak, ezt követően pedig néhány órán belül már megfigyelhetők a rosszindulatú aktivitások.  

Jellemzően a vállalati szervereken sok szoftver fut egyszerre, ezért előfordul, hogy az adott sérülékenységet nem tudták vagy nem akarták javítani, annak ellenére sem, hogy ismertté vált.  

A publikáció példát is hoz erre: a CVE-2022-1388 tétel egy kritikus, nem hitelesített távoli parancsfuttatási sebezhetőség, és az F5 nevű IT-biztonság gyártó BIG-IP termékeit érinti. Ezt a hibát 2022. május 4-én hozták nyilvánosságra, és a Unit 42 megfigyelései szerint tíz órával később már 2552 kihasználási kísérletet regisztráltak. 

A Palo Alto által gyűjtött adatok alapján 2022 első félévében a leggyakrabban kihasznált sérülékenységek között a hálózati hozzáféréssel kapcsolatos ProxyShell Exploit Chain-t érintő sérülékenységek vitték a prímet: az összes regisztrált kihasználási incidens 55 százalékát tették ki. (A ProxyShell egy olyan támadás, amelyet három, CVE-2021-34473, CVE-2021-34523 és CVE-2021-31207 néven nyomon követett sebezhetőség láncolatával használták ki.) 

A második helyen a Log4Shell következik 14 százalékkal, a különböző SonicWall CVE-k 7 százalékot, a ProxyLogon 5 százalékot, míg a Zoho ManageEngine ADSelfService Plus-ban lévő RCE-t az esetek 3 százalékában használták ki. 

Fontos megjegyezni azt is, hogy a Unit 42 szerint a sebezhetőségek kihasználásának első lépése a hozzáférési adatok megszerzése különböző adathalász-módszerekkel (az esetek 37 százalékában), míg az esetek 15 százalékában a hackerek kompromittált hitelesítő adatok felhasználásával hatoltak be a hálózatokba.