Лавина уязвимостей: 2024 год бьет рекорды по числу киберугроз

В сфере кибербезопасности наблюдается тревожная тенденция: число выявленных уязвимостей бьет все рекорды. Согласно Национальной базе данных (NVD), в 2023 году было зарегистрировано 28 821 брешь в безопасности. Еще более настораживает тот факт, что в 2024 году этот показатель может оказаться еще больше - уже к сентябрю количество обнаруженных уязвимостей превысило 28 000.

Специалисты связывают такую статистику с несколькими факторами. Широкое применение открытого программного обеспечения позволяет большему количеству разработчиков и исследователей тщательно изучать код. Повышение осведомленности о киберугрозах среди организаций и экспертов приводит к увеличению числа сообщений об инцидентах. Кроме того, современные системы становятся все более сложными, что создает дополнительные возможности для появления брешей.

Однако рост числа выявленных дефектов не решает всех проблем. В начале 2024 года NVD столкнулась с серьезным замедлением в анализе уязвимостей. это привело к задержкам в обновлении данных, от которых зависят многие инструменты сканирования. в результате многие организации оказались более уязвимыми для потенциальных атак.

Исследовательская команда Aqua Nautilus обнаружила еще одну проблему: задержку в публичном раскрытии информации о слабых местах в проектах с открытым исходным кодом. иногда может пройти до нескольких сотен дней, прежде чем информация о бреши будет опубликована и исправлена. это создает опасное "окно", в течение которого злоумышленники недостатки могут обнаружить хакеры.

Aqua Nautilus также ввела новые категории проблем безопасности: "Half-Day" и "0.75-Day". уязвимости типа "Half-Day" известны разработчикам, но еще не были официально опубликованы. бреши категории "0.75-Day" имеют исправление, но еще не получили идентификатора CVE или CPE, что делает их невидимыми для инструментов сканирования.

Исследователи привели два показательных примера: проблема Log4Shell (CVE-2021-44228) и дефект в Binwalk (CVE-2022-4510) . В случае с Log4Shell период "Half-Day" длился 6 дней, а период "0.75-Day" - 4 дня до официального присвоения CVE. Для бреши в Binwalk период "Half-Day" продлился 98 дней.

Фокус атак у киберпреступников также меняется. Если в 2022 году основной целью была брешь Log4Shell , то к концу 2023 года их внимание переключилось на проблему в Grafana (CVE-2021-43798) .

Grafana - это инструмент с открытым исходным кодом для визуализации данных, широко используемый в облачных средах. дефект позволяет хакерам читать произвольные файлы из файловой системы, что может привести к утечке конфиденциальных данных. Вот список наиболее часто эксплуатируемых проблем безопасности:

CVE	Платформа	%	CVSS	EPSS
CVE-2021-43798	Grafana	24.91%	7.5	97.5%
CVE-2021-44228	Log4Shell	23.91%	10	96.69%
CVE-2002-1149	phpinfo.php	6.71%	N/A	55.48%
CVE-2018-11776	Apache Struts	5.39%	8.1	97.53%
CVE-2023-32315	Openfire	4.74%	7.5	97.02%
CVE-2023-38646	Metabase	3.62%	9.8	88.91%
CVE-2002-0953	globals.php	3.55%	N/A	2.76%
CVE-2022-0543	Redis	3.00%	10	97.20%
CVE-2020-2551	Oracle WebLogic	0.95%	9.8	97.54%
CVE-2014-6271	Shellshock	0.94%	9.8	97.37%

Исследование honeypots показало, что злоумышленники стали быстрее эксплуатировать новые бреши. например, недавние проблемы в Openfire и RocketMQ были использованы в атаках всего через одну-две недели после их раскрытия.

Усиливаются атаки на цепочки поставок программного обеспечения. новые слабые места в таких инструментах, как curl и libcurl, а также эксплуатация свежих брешей вредоносным ПО Kinsing подчеркивают постоянные риски в цепочке поставок ПО.

Другие примеры атак на цепочки поставок включают критические дефекты в Jenkins Server, ведущие к удаленному выполнению кода (RCE), и распространение вредоносного ПО через путаницу в зависимостях PyTorch.

Для борьбы с растущим числом проблем безопасности эксперты рекомендуют ряд мер. Среди них - использование автоматизированного сканирования кода, применение технологий искусственного интеллекта и машинного обучения для обнаружения аномалий в репозиториях кода.

Вот полный список рекомендаций:

• Разработайте стратегию многоуровневой защиты: как упоминалось ранее, принятие многоуровневого подхода к безопасности необходимо для комплексной защиты вашей среды. это включает в себя реализацию мощных средств контроля во время выполнения для предотвращения атак, которые могут использовать существующие или нулевые бреши, применяя такие возможности, как поведенческое обнаружение и облачное обнаружение и реагирование (CDR).
• Обнаруживайте и исправляйте проблемы на ранних этапах: используйте надежный облачный сканер безопасности для смещения влево и интеграции автоматизированного сканирования в жизненный цикл разработки программного обеспечения. раннее выявление известных дефектов и других рисков в ваших образах контейнеров может значительно уменьшить поверхность атаки, которую могут использовать злоумышленники.
• Используйте риск-ориентированный подход для приоритизации и устранения слабых мест: сосредоточьтесь на проблемах, представляющих наибольший риск, учитывая контекстуальные факторы, такие как достижимость, EPSS, активно работающие пакеты, доступные эксплойты и другие. это помогает в выявлении и устранении дефектов с наивысшим приоритетом.
• Предотвращайте попадание критических проблем в производственную среду: настройте политики обеспечения для определения приемлемого уровня риска для развертывания образов контейнеров, что помогает уменьшить поверхность атаки и предотвращает попадание брешей в производство.
• Смягчайте последствия дефектов во время выполнения: закройте пути эксплуатации и векторы атак для проблем, которые нельзя немедленно исправить, применяя компенсирующие меры контроля, такие как vShield, виртуальный патч, обеспечивающий немедленную защиту.