اسکن آسیب‌پذیری‌ها توسط هکرها در عرض ۱۵ دقیقه پس از افشا

ادمین‌های سیستم حتی از آنچه فکر می‌کردند هم وقت کمتری برای Patch کردن آسیب‌پذیری‌های امنیتی افشاشده دارند؛ زیرا گزارش جدیدی نشان می‌دهد که عاملین تهدید در عرض ۱۵ دقیقه پس‌ازاینکه CVE جدیدی به‌صورت عمومی افشا شود، نقاط پایانی آسیب‌پذیر را اسکن می‌کنند. با توجه به گزارش پاسخ به حادثه Unit 42 متعلق به Palo Alto در سال ۲۰۲۲، هکرها به‌طور دائم تابلو اعلانات Vendor نرم‌افزاری را مانیتور می‌کنند تا اعلانات آسیب‌پذیری‌های جدید را پیدا کنند و برای دسترسی اولیه به شبکه‌ی سازمانی یا اجرای کد از راه دور، از آن بهره ببرند. اما سرعت عاملان مخرب در اسکن آسیب‌پذیری، ادمین‌های سیستم را تحت فشار قرار می‌دهد، زیرا باید پیش از Exploit شدن باگ‌ها، آن‌ها را Patch کنند.

گفته می‌شود گزارش تهدید مدیریت آسیب‌پذیری‌ها در سال ۲۰۲۲ نشان داد که مهاجمین معمولاً در عرض ۱۵ دقیقه پس از اعلام شدن یک CVE شروع  به اسکن آسیب‌پذیری‌ها می‌کنند . ازآنجایی‌که اسکن کردن دشواری خاصی ندارد، حتی مهاجمینی که مهارت اندکی داشته باشند هم می‌توانند اینترنت را برای نقاط پایانی آسیب‌پذیر اسکن کنند و یافته‌های خود را در بازارهای سیاه در اینترنت بفروشند؛ جایی که هکرهای توانمندتر می‌توانند از این یافته‌ها سوءاستفاده کنند. سپس در عرض چند ساعت، اولین تلاش‌ها برای Exploit کردن مشاهده می‌شود که معمولاً به سیستم‌هایی حمله می‌شود که فرصت Patch شدن را نداشته‌اند.

Unit 42 برای مثال به CVE-2022-1388 اشاره می‌کند؛ یک آسیب‌پذیری اجرای دستور احراز هویت نشده‌ی حیاتی که روی محصولات F5 BIG-IP تأثیر می‌گذارد. این نقص در چهارم مه ۲۰۲۲ افشا شد و بنا به گفته‌ی Unit 42، وقتی ‌که ده ساعت از اعلام CVE گذشت، ۲۵۵۲ مورد تلاش برای اسکن و Exploit را شناسایی کرده بودند. این رقابتی بین مدافعان و عاملان مخرب است که با گذشت هر سال، فرصت تأخیر برای هر یک از طرفین کمتر و کمتر می‌شود.

نقص‌هایی با بیشترین Exploit در سال ۲۰۲۲

براساس داده‌های جمع‌آوری‌شده توسط Palo Alto، آسیب‌پذیری‌های مربوط به دسترسی به شبکه که در نیمه‌ی اول سال ۲۰۲۲ بیشتر از همه Exploit شده‌اند، زنجیره‌ی آسیب‌پذیری ProxyShell هستند که ۵۵ درصد از کل حوادث Exploit ثبت‌شده را تشکیل می‌دهند.  ProxyShell حمله‌ای است که با زنجیر کردن سه آسیب‌پذیری که تحت عناوین CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207 ردیابی می‌شوند، Exploit را انجام می‌دهد.

آسیب‌پذیری Log4Shell با ۱۴درصد رتبه‌ی دوم را دارد، CVEهای مختلف SonicWall 7 درصد را تشکیل می‌دادند، ProxyLogon با ۵ درصد در رتبه‌ی بعدی قرار داشت و RCE در ۳ درصد مواقع Exploit شده بود.

نقص‌هایی که در نیمه اول ۲۰۲۲ بیشتر از همه Exploit شده‌اند

همان‌طور که از این آمار مشخص است، بیشترین سهم از حجم Exploitها متعلق به نقص‌های تقریباً قدیمی هستند، نه موارد جدیدتر. این امر دلایل مختلفی دارد، از جمله مقدار بالای آسیب‌پذیری‌ها، پیچیدگی Exploit کردن و تأثیرگذاری عملی. سیستم‌های ارزشمندتر که حفاظت بهتری هم دارند و ادمین‌هایشان به‌سرعت بروزرسانی‌های امنیتی را اعمال می‌کنند، توسط Zero-Dayها یا حملاتی که بلافاصله بعد از افشای نقص‌ها انجام می‌گیرند، مورد هدف‌گیری واقع می‌شوند.

همچنین جا دارد اشاره کنیم که بنا به گفته‌ی Unit 42، حدوداً یک‌سوم روش‌های مورداستفاده مربوط به Exploit کردن آسیب‌پذیری‌های نرم‌افزاری برای نقض امنیتی ابتدایی است. در ۳۷ درصد مواقع، فیشینگ روش مورد استفاده برای دسترسی اولیه بود. در ۱۵ درصد موارد Brute-forcing یا استفاده از اطلاعات اعتباری دچار نقض امنیتی، روش مورد استفاده‌ی هکرها برای نفوذ بود.

نحوه‌ی دسترسی اولیه هکرها در نیمه اول ۲۰۲۲

نهایتاً، استفاده از حقه‌های مهندسی اجتماعی در مقابل  کارمندانی که سطح دسترسی بالایی دارند یا آوردن یک عامل مخرب داخلی برای کمک در دسترسی به شبکه، ۱۰ درصد از حوادث را تشکیل می‌دهد.