Το 70% των ελαττωμάτων το 2023 ανακαλύφθηκαν από τη μία μέρα στην άλλη

Οι αναλυτές ασφαλείας της Mandiant προειδοποιούν για μια ανησυχητική νέα τάση των παραγόντων απειλών που επιδεικνύουν καλύτερη ικανότητα ανακάλυψης και εκμετάλλευσης τρωτών σημείων zero-day στο λογισμικό.

Συγκεκριμένα, από τις 138 ευπάθειες που αποκαλύφθηκαν ως ενεργά αξιοποιημένες το 2023, η Mandiant λέει ότι 97 (70,3%) χρησιμοποιήθηκαν ως μηδενικές ημέρες.

Αυτό σημαίνει ότι οι φορείς απειλών εκμεταλλεύονταν τα ελαττώματα στις επιθέσεις προτού οι επηρεαζόμενοι προμηθευτές μάθουν την ύπαρξη σφαλμάτων ή είχαν καταφέρει να τα διορθώσουν.

Από το 2020 έως το 2022, η αναλογία μεταξύ n-ημέρων (διορθώθηκαν ελαττώματα) και μηδενικών ημερών (δεν υπάρχει διαθέσιμη επιδιόρθωση) παρέμεινε σχετικά σταθερή στο 4:6, αλλά το 2023, η αναλογία μετατοπίστηκε στο 3:7.

Google εξηγεί ότι αυτό δεν οφείλεται σε μείωση του αριθμού των n-ημέρων που εκμεταλλεύονται στη φύση, αλλά μάλλον σε αύξηση της μηδενικής εκμετάλλευσης και στη βελτιωμένη ικανότητα των προμηθευτών ασφάλειας να την ανιχνεύουν.

Αυτή η αυξημένη κακόβουλη δραστηριότητα και διαφοροποίηση σε στοχευμένα προϊόντα αντικατοπτρίζεται επίσης στον αριθμό των προμηθευτών που επηρεάστηκαν από ελαττώματα που χρησιμοποιήθηκαν ενεργά, ο οποίος αυξήθηκε το 2023 σε 56 ρεκόρ, από 44 το 2022 και υψηλότερο από το προηγούμενο ρεκόρ των 48 προμηθευτών το 2021.

Οι χρόνοι απόκρισης γίνονται στενότεροι

Μια άλλη σημαντική τάση καταγράφηκε σχετικά με το χρόνο που απαιτείται για την εκμετάλλευση (TTE) ενός ελαττώματος που αποκαλύφθηκε πρόσφατα (n-day ή 0-day), το οποίο έχει πλέον μειωθεί σε μόλις πέντε ημέρες.

Για σύγκριση, το 2018-2019, το TTE ήταν 63 ημέρες και το 2021-2022, το TTE ήταν 32 ημέρες. Αυτό έδωσε στους διαχειριστές συστημάτων αρκετό χρόνο για να σχεδιάσουν την εφαρμογή ενημερώσεων κώδικα ή να εφαρμόσουν μέτρα μετριασμού για την ασφάλεια των επηρεαζόμενων συστημάτων.

Ωστόσο, καθώς το TTE μειώνεται πλέον στις 5 ημέρες, στρατηγικές όπως η τμηματοποίηση δικτύου, ο εντοπισμός σε πραγματικό χρόνο και η επείγουσα ιεράρχηση ενημερωμένων εκδόσεων γίνονται πολύ πιο κρίσιμες.

Σε μια σχετική σημείωση, η Google δεν βλέπει συσχέτιση μεταξύ της αποκάλυψης των εκμεταλλεύσεων και της TTE.

Το 2023, το 75% των εκμεταλλεύσεων δημοσιοποιήθηκαν πριν ξεκινήσει η εκμετάλλευση στη φύση και το 25% κυκλοφόρησε αφού οι χάκερ είχαν ήδη αξιοποιήσει τα ελαττώματα.

Δύο παραδείγματα που επισημαίνονται στην αναφορά για να δείξουν ότι δεν υπάρχει συνεπής σχέση μεταξύ της διαθεσιμότητας δημόσιας εκμετάλλευσης και της κακόβουλης δραστηριότητας είναι το CVE-2023-28121 (προσθήκη WordPress) και το CVE-2023-27997 (Fortinet FortiOS).

Στην πρώτη περίπτωση, η εκμετάλλευση ξεκίνησε τρεις μήνες μετά την αποκάλυψη και δέκα ημέρες μετά τη δημοσίευση της απόδειξης ιδέας.

Στην περίπτωση του FortiOS, το ελάττωμα οπλίστηκε σχεδόν αμέσως σε δημόσια έργα, αλλά το πρώτο κακόβουλο συμβάν εκμετάλλευσης καταγράφηκε τέσσερις μήνες αργότερα.

Η δυσκολία εκμετάλλευσης, το κίνητρο του παράγοντα απειλής, η τιμή στόχου και η συνολική πολυπλοκότητα της επίθεσης παίζουν όλα ρόλο στο TTE και μια άμεση ή μεμονωμένη συσχέτιση με τη διαθεσιμότητα PoC είναι εσφαλμένη σύμφωνα με την Google.