Actorii de amenințare sunt rapizi în a transforma în arme exploit-urile de proof-of-concept (PoC) disponibile în atacuri reale, uneori la doar 22 de minute după ce exploit-urile sunt făcute publice.
Aceasta este concluzia raportului Cloudflare privind securitatea aplicațiilor pentru anul 2024, care acoperă activitatea între mai 2023 și martie 2024, evidențiind tendințele emergente în materie de amenințări.
Cloudflare, care procesează în prezent în medie 57 de milioane de cereri HTTP pe secundă, continuă să observe o activitate sporită de scanare pentru CVE-urile divulgate, urmate de injectări de comenzi și de încercări de a transforma în arme PoC-urile disponibile.
În perioada examinată, cele mai vizate vulnerabilități au fost CVE-2023-50164 și CVE-2022-33891 în produsele Apache, CVE-2023-29298, CVE-2023-38203 și CVE-2023-26360 în Coldfusion, și CVE-2023-35082 în MobileIron.
Un exemplu caracteristic al creșterii vitezei de transformare în arme este CVE-2024-27198, o deficiență de bypassare a autentificării în JetBrains TeamCity.
Cloudflare a observat cazul unui atacator care a implementat un exploit bazat pe PoC la doar 22 de minute după publicarea acestuia, lăsând practic nicio marjă de remediere pentru apărători.
Firma de internet afirmă că singura modalitate de a combate această viteză este de a folosi asistența AI pentru a dezvolta rapid reguli eficiente de detecție.
„Viteza de exploatare a CVE-urilor divulgate este adesea mai mare decât viteza la care oamenii pot crea reguli WAF sau pot crea și implementa patch-uri pentru a atenua atacurile,” explică Cloudflare în raport.
„Acest lucru se aplică și echipei noastre interne de analiști de securitate care menține setul de reguli gestionate WAF, ceea ce ne-a determinat să combinăm semnăturile scrise de oameni cu o abordare bazată pe învățare automată pentru a obține cea mai bună balanță între un număr scăzut de alarme false și viteza de răspuns.”
Cloudflare spune că acest lucru este în parte rezultatul anumitor actori de amenințare specializați în anumite categorii CVE și produse, dezvoltând o înțelegere detaliată a modului de a profita rapid de noile divulgări de vulnerabilități.
O altă cifră impresionantă din raportul Cloudflare este că 6,8% din tot traficul zilnic de internet este trafic de denial of service distribuit (DDoS) destinat să facă aplicațiile și serviciile online indisponibile utilizatorilor legitimi.
Aceasta reprezintă o creștere semnificativă față de 6% înregistrat în perioada anterioară de 12 luni (2022-2023), evidențiind o creștere a volumului total al atacurilor DDoS.
Cloudflare spune că în timpul evenimentelor mari de atac global, traficul malefic poate reprezenta până la 12% din tot traficul HTTP.
„Concentrându-se doar pe cererile HTTP, în primul trimestru al anului 2024, Cloudflare a blocat în medie 209 miliarde de amenințări cibernetice în fiecare zi (+86.6% YoY) […ceea ce] reprezintă o creștere semnificativă în termeni relativi față de aceeași perioadă a anului trecut,” spune Cloudflare.
Raportul PDF al firmei, disponibil pentru descărcare aici, oferă recomandări suplimentare pentru apărători și informații mai detaliate despre statisticile compilate.
Exploit pentru o deficiență critică de SQLi în Fortra FileCatalyst Workflow lansat
Exploit pentru o deficiență critică de autentificare bypass în Veeam disponibil, aplicați patch-ul acum
Exploit pentru o deficiență critică de autentificare bypass în Progress Telerik lansat, aplicați patch-ul acum
Exploit pentru zero-day QNAP QTS în funcția de partajare primește exploit public RCE
OVHcloud acuză atacul DDoS record pe botnetul MikroTik
Leave a Reply