Недавнее исследование показало, что среднее время, за которое злоумышленники начинают использовать уязвимости в реальных атаках, за последние годы значительно сократилось: с 32 дней до 5. Рассказываем об этом подробнее.
Не так давно специалисты из компании Mandiant, опубликовали исследование, в котором они проанализировали свежие уязвимости, используемые злоумышленниками в реальных атаках, и выяснили, что среднее время от публикации патча до эксплуатации уязвимости (Time-to-Exploit) за последние несколько лет резко сократилось. Вместе с экспертами CICADA8 подробно разбираем, почему так случилось.
Сколько уязвимостей эксплуатируют злоумышленники
Количество обнаруживаемых уязвимостей стабильно растёт год от года. В прошлом году предсказуемо был поставлен очередной рекорд: всего за 2023 год в базе CVE было зарегистрировано 29 066 уязвимостей.
При этом также важно отметить, что счёт CVSS, который используется в качестве индикатора опасности уязвимостей, имеет очевидную тенденцию к завышению уровня риска. Так, из всех найденных в 2023 году уязвимостей 11 692 (то есть 40%) имели уровень опасности «высокий» и ещё 5 161 (18%) — «критический». В то же время «низкий» уровень опасности присваивают уязвимостям крайне редко — таких за весь 2023 год обнаружилось всего 500, то есть менее 2%.
Не так давно специалисты из компании Mandiant, опубликовали исследование, в котором они проанализировали свежие уязвимости, используемые злоумышленниками в реальных атаках, и выяснили, что среднее время от публикации патча до эксплуатации уязвимости (Time-to-Exploit) за последние несколько лет резко сократилось. Вместе с экспертами CICADA8 подробно разбираем, почему так случилось.
Сколько уязвимостей эксплуатируют злоумышленники
Количество обнаруживаемых уязвимостей стабильно растёт год от года. В прошлом году предсказуемо был поставлен очередной рекорд: всего за 2023 год в базе CVE было зарегистрировано 29 066 уязвимостей.
При этом также важно отметить, что счёт CVSS, который используется в качестве индикатора опасности уязвимостей, имеет очевидную тенденцию к завышению уровня риска. Так, из всех найденных в 2023 году уязвимостей 11 692 (то есть 40%) имели уровень опасности «высокий» и ещё 5 161 (18%) — «критический». В то же время «низкий» уровень опасности присваивают уязвимостям крайне редко — таких за весь 2023 год обнаружилось всего 500, то есть менее 2%.
При этом из всех обнаруженных в 2023 году уязвимостей, лишь о 138 известно, что они были проэксплуатированы злоумышленниками в реальных атаках. Получается, что реальную опасность представляют около 0,5% от всех свеже обнаруженных уязвимостей.
В свою очередь, из тех 138 уязвимостей, которые действительно использовались для атак, целых 97 были применены злоумышленниками еще до того, как для них появились патчи. То есть 70% обнаруженных и проэксплуатированных в 2023 году уязвимостей были 0-day.
От патча до атаки за пять дней
Один из ключевых трендов - атакующие стали значительно быстрее брать на вооружение недавно обнаруженные уязвимости. Это наглядно демонстрирует показатель Time-to-Exploit — время от выпуска патча до первой реальной атаки с использованием соответствующего эксплойта.
Данный показатель быстро снижается: в 2018-2109 годах он составлял 63 дня, в 2020 году опустился до 44 дней, а в 2021-2022 — до 32 дней. Однако в прошлом году этот процесс дополнительно ускорился: среднее время от патча до атаки в 2023 году составлял всего-навсего 5 дней.
Получается, что всего за шесть лет этот показатель снизился более чем в двенадцать раз. Говоря иными словами, у защитников в среднем стало в двенадцать раз меньше времени на то, чтобы устранить слабые места в инфраструктуре до того, как ими могут воспользоваться атакующие.
Разные уязвимости — разные таймлайны
Разумеется, это лишь общие тренды — в случае каждой конкретной уязвимости сроки появления эксплойтов и начала их использования в реальных атаках могут сильно отличаться. В качестве иллюстрации можно привести две уязвимости, которые диаметрально противоположны в этом отношении, несмотря на то, что обе получили счёт CVSS 9.8 и уровень опасности «Критический».
Первая из них, CVE-2023-28121, была обнаружена в WooCommerce Payments (он же WooPayments), популярном плагине для Wordpress. Она позволяла получить права администратора на сайте, работающем на Wordpress. Информация об уязвимости была опубликована одновременно с патчем 23 марта 2023 года. Однако рабочие эксплойты появились только в июле, два с половиной месяца спустя. Зато почти сразу после этого началась волна атак с их использованием. Пик эксплуатации пришёлся на 16 июля, когда было зафиксировано 1,3 млн атак.
Такую динамику можно связать с двумя основными факторами. С одной стороны, уязвимость имела не самую высокую ценность для потенциальных атакующих, поскольку взлом сайта на Wordpress, как правило, не позволяет развить атаку и получить дальнейший доступ в инфраструктуру организации. Поэтому эксплойт появился далеко не сразу. С другой стороны, атака через CVE-2023-28121 легко автоматизируется. Поэтому как только эксплойт стал доступен, многие взломщики быстро ухватились за возможность.
Вторая уязвимость, CVE-2023-27997 (XORtigate) — переполнение динамической памяти в SSL/VPN компоненте Fortinet FortiOS. Эта уязвимость позволяла удаленному атакующему выполнять произвольный код. Информация о данном баге появилась 11 июня 2023 года и почти сразу он привлёк серьёзное внимание медиа. Патч был выпущен на следующий день, 12 июня, а уже 16 июня появился эксплойт. Однако первая атака с использованием XORtigate была зафиксирована лишь 12 сентября — через месяц после публикации обновления.
Можно предположить, что факторы были ровно противоположные. С одной стороны, XORtigate — ценная уязвимость, поскольку атака с её использованием может дать злоумышленникам доступ в инфраструктуру атакуемой организации. Поэтому для разработки эксплойта был серьёзный стимул. С другой стороны, эксплуатация XORtigate значительно сложнее и менее эффективна с точки зрения затрачиваемых усилий. Поэтому желающие это делать появились далеко не сразу.
External Threat Management
Как видите, задача защитников по обеспечению безопасности инфраструктуры с каждым годом становится всё сложнее. Общее количество обнаруживаемых уязвимостей растёт — только в 2023 году их было найдено почти 30 000. При этом ориентироваться на рейтинг CVSS достаточно проблематично: почти две трети обнаруживаемых уязвимостей получают высокий счёт и уровень опасности «Высокий» или «Критический».
В реальности злоумышленники эксплуатируют очень небольшой процент от общего числа найденных уязвимостей. Однако делают они это с каждым годом всё быстрее — времени между выпуском патча и началом атак в среднем становится всё меньше. При этом 70% свежеобнаруженных уязвимостей и вовсе применяются как 0-day. В дополнение в этому, атакующие последовательно диверсифицируют набор эксплуатируемых уязвимостей и атакуют всё более разнообразный набор продуктов большего количества вендоров.
В таких условиях ключевым элементом стратегии безопасности становится процесс непрерывного управление внешними киберугрозами. С помощью платформы CICADA8 ETM организация может наладить непрерывный мониторинг, инвеннаризацию активов, быстрое обнаружение и устранение уязвимостей, тем самым значительно повысив уровень защищенности организации.
Вы можете детально ознакомиться с возможностями CICADA8 ETM, запросив демонстрацию платформы. Наши эксперты покажут, как работает платформа, какие данные можно отображать в интерфейсе , как выглядит отчётность и рекомендации по исправлению уязвимостей.
В свою очередь, из тех 138 уязвимостей, которые действительно использовались для атак, целых 97 были применены злоумышленниками еще до того, как для них появились патчи. То есть 70% обнаруженных и проэксплуатированных в 2023 году уязвимостей были 0-day.
От патча до атаки за пять дней
Один из ключевых трендов - атакующие стали значительно быстрее брать на вооружение недавно обнаруженные уязвимости. Это наглядно демонстрирует показатель Time-to-Exploit — время от выпуска патча до первой реальной атаки с использованием соответствующего эксплойта.
Данный показатель быстро снижается: в 2018-2109 годах он составлял 63 дня, в 2020 году опустился до 44 дней, а в 2021-2022 — до 32 дней. Однако в прошлом году этот процесс дополнительно ускорился: среднее время от патча до атаки в 2023 году составлял всего-навсего 5 дней.
Получается, что всего за шесть лет этот показатель снизился более чем в двенадцать раз. Говоря иными словами, у защитников в среднем стало в двенадцать раз меньше времени на то, чтобы устранить слабые места в инфраструктуре до того, как ими могут воспользоваться атакующие.
Разные уязвимости — разные таймлайны
Разумеется, это лишь общие тренды — в случае каждой конкретной уязвимости сроки появления эксплойтов и начала их использования в реальных атаках могут сильно отличаться. В качестве иллюстрации можно привести две уязвимости, которые диаметрально противоположны в этом отношении, несмотря на то, что обе получили счёт CVSS 9.8 и уровень опасности «Критический».
Первая из них, CVE-2023-28121, была обнаружена в WooCommerce Payments (он же WooPayments), популярном плагине для Wordpress. Она позволяла получить права администратора на сайте, работающем на Wordpress. Информация об уязвимости была опубликована одновременно с патчем 23 марта 2023 года. Однако рабочие эксплойты появились только в июле, два с половиной месяца спустя. Зато почти сразу после этого началась волна атак с их использованием. Пик эксплуатации пришёлся на 16 июля, когда было зафиксировано 1,3 млн атак.
Такую динамику можно связать с двумя основными факторами. С одной стороны, уязвимость имела не самую высокую ценность для потенциальных атакующих, поскольку взлом сайта на Wordpress, как правило, не позволяет развить атаку и получить дальнейший доступ в инфраструктуру организации. Поэтому эксплойт появился далеко не сразу. С другой стороны, атака через CVE-2023-28121 легко автоматизируется. Поэтому как только эксплойт стал доступен, многие взломщики быстро ухватились за возможность.
Вторая уязвимость, CVE-2023-27997 (XORtigate) — переполнение динамической памяти в SSL/VPN компоненте Fortinet FortiOS. Эта уязвимость позволяла удаленному атакующему выполнять произвольный код. Информация о данном баге появилась 11 июня 2023 года и почти сразу он привлёк серьёзное внимание медиа. Патч был выпущен на следующий день, 12 июня, а уже 16 июня появился эксплойт. Однако первая атака с использованием XORtigate была зафиксирована лишь 12 сентября — через месяц после публикации обновления.
Можно предположить, что факторы были ровно противоположные. С одной стороны, XORtigate — ценная уязвимость, поскольку атака с её использованием может дать злоумышленникам доступ в инфраструктуру атакуемой организации. Поэтому для разработки эксплойта был серьёзный стимул. С другой стороны, эксплуатация XORtigate значительно сложнее и менее эффективна с точки зрения затрачиваемых усилий. Поэтому желающие это делать появились далеко не сразу.
External Threat Management
Как видите, задача защитников по обеспечению безопасности инфраструктуры с каждым годом становится всё сложнее. Общее количество обнаруживаемых уязвимостей растёт — только в 2023 году их было найдено почти 30 000. При этом ориентироваться на рейтинг CVSS достаточно проблематично: почти две трети обнаруживаемых уязвимостей получают высокий счёт и уровень опасности «Высокий» или «Критический».
В реальности злоумышленники эксплуатируют очень небольшой процент от общего числа найденных уязвимостей. Однако делают они это с каждым годом всё быстрее — времени между выпуском патча и началом атак в среднем становится всё меньше. При этом 70% свежеобнаруженных уязвимостей и вовсе применяются как 0-day. В дополнение в этому, атакующие последовательно диверсифицируют набор эксплуатируемых уязвимостей и атакуют всё более разнообразный набор продуктов большего количества вендоров.
В таких условиях ключевым элементом стратегии безопасности становится процесс непрерывного управление внешними киберугрозами. С помощью платформы CICADA8 ETM организация может наладить непрерывный мониторинг, инвеннаризацию активов, быстрое обнаружение и устранение уязвимостей, тем самым значительно повысив уровень защищенности организации.
Вы можете детально ознакомиться с возможностями CICADA8 ETM, запросив демонстрацию платформы. Наши эксперты покажут, как работает платформа, какие данные можно отображать в интерфейсе , как выглядит отчётность и рекомендации по исправлению уязвимостей.
Время от обнаружения до эксплуатации уязвимости сократилось более чем в 6 раз
16 января 2025
