Raport WithSecure: prawie dwa razy więcej incydentów wykorzystujących luki w zabezpieczeniach
W wyniku ubiegłorocznego wykorzystania przez cyberprzestępców luk w zabezpieczeniach oprogramowania MOVEit wykradziono dane nawet 100 mln osób. Według analiz przeprowadzonych przez zespół WithSecure Intelligence, coraz częściej na celowniku przestępców są urządzenia i usługi brzegowe – od początku tego roku wykryto w nich o 22% więcej luk niż w 2023 r. Tymczasem od wykrycia podatności do jej załatania upływa średnio aż 175 dni, więc przez prawie pół roku wiele firm i użytkowników jest podatnych na ataki.
Urządzenia instalowane na brzegu sieci (często w rozproszonej infrastrukturze) są na stałe połączone z Internetem, a w związku z tym łatwe do namierzenia, co czyni je atrakcyjnym celem dla hakerów. Są przy tym też trudne do monitorowania przez administratorów sieci i często nie mają zainstalowanego zapewniającego monitorowanie zagrożeń oprogramowania EDR (Endpoint Detection and Response), które pozwoliłoby na wykrycie incydentu i zareagowanie.
– Do przeprowadzenia cyberataku hakerom wystarczy jedna, podatna na ataki, połączona z Internetem usługa brzegowa. Za realizację większości takich usług odpowiedzialne są urządzenia wchodzące w skład infrastruktury IT, takie jak firewalle czy bramki poczty elektronicznej. Rozwiązania te mają chronić firmową sieć, jednak wielokrotnie ujawniano luki w ich zabezpieczeniach, które były wykorzystywane przez przestępców jako furtka do firmowych systemów. A ponieważ świadomość występowania takich podatności jest coraz wyższa, rośnie też prawdopodobieństwo ich wykorzystania – zauważa Stephen Robinson, starszy analityk ds. zagrożeń w WithSecure Intelligence.
Luki ułatwiają prowadzenie ataków ransomware
Wykorzystywanie luk w zabezpieczeniach jest jedną z podstawowych metod stosowanych przy kampaniach ransomware oraz atakach szpiegowskich. Korzystanie z podatności typu zero-day i one-day jest szczególnie popularne wśród cyberprzestępców motywowanych finansowo. Zagrożone są nie tylko firmy, ale też instytucje państwowe. W 2023 roku w wyniku wykorzystania luk w oprogramowaniu Ivanti Endpoint Manager Mobile ofiarą cyberprzestępców padło 12 norweskich instytucji państwowych. Cyberataki dotknęły też inne europejskie podmioty rządowe, gdy sponsorowani przez Rosję hakerzy wykorzystali słabości oprogramowania serwerowego poczty elektronicznej RoundCube.
Informacje o lukach w oprogramowaniu publikowane są w katalogu Known Exploited Vulnerability Catalogue (KEV), prowadzonym przez amerykańską Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Według analiz ekspertów WithSecure w 2024 roku liczba podatności w usługach brzegowych, które zostały dodane do katalogu, wzrosła aż o 22% w porównaniu do 2023 r. W ubiegłym roku 14% wszystkich naruszeń zaczęło się od wykorzystania luki w zabezpieczeniach, co stanowi wzrost o 180% rok do roku.
Firmy zostawiają otwartą furtkę dla hakerów
Urządzenia brzegowe pełnią ważną funkcje w działalności firm, jednak często przez długi okres pozostawiane są bez aktualizacji i odpowiedniego nadzoru. Liczba podatności w usługach brzegowych będzie nadal rosnąć, podobnie jak aktywność hakerów, którzy szybko adaptują się do zmieniających się warunków i metod wejścia do systemów. Jednocześnie, zwiększona świadomość na temat tego zjawiska wśród osób odpowiedzialnych za bezpieczeństwo daje nadzieję na dbałość o regularne aktualizacje systemów i sprzętu oraz ich stałe monitorowanie. Są to czynności odgrywające kluczowe znaczenie w minimalizowaniu ryzyka wystąpienia incydentu.
Cały raport dostępny jest pod adresem:
labs.withsecure.com/publications/mass-exploitation-the-vulnerable-edge-of-enterprise-security