Кибератаки на основе PoC-эксплойтов начинают происходить с невероятной скоростью – иногда всего через 22 минуты после публикации PoC. О тенденциях злоумышленников рассказывает новый отчет Cloudflare, охватывающий период с мая 2023 по март 2024 года.
Cloudflare, обрабатывающая в среднем 57 миллионов HTTP-запросов в секунду, наблюдает рост активности сканирования уязвимостей CVE, сопровождаемый попытками внедрения команд и использования PoC-эксплойтов. В исследуемый период наиболее часто атакуемыми уязвимостями стали:
- CVE-2023-50164 (оценка CVSS: 9.8) и CVE-2022-33891 (оценка CVSS: 8.8) в продуктах Apache;
- CVE-2023-29298 (оценка CVSS: 7.5), CVE-2023-38203 (оценка CVSS: 9.8) и CVE-2023-26360 (оценка CVSS: 9.8) в Coldfusion;
- CVE-2023-35082 (оценка CVSS: 9.8) в Ivanti EPMM (ранее MobileIron).
Особенно выделяется CVE-2024-27198 (оценка CVSS: 9.8) – уязвимость обхода аутентификации в JetBrains TeamCity. Cloudflare зафиксировала случай, когда атакующий применил PoC-эксплойт через 22 минуты после его публикации, не оставив защитникам времени для реагирования.
Скорость эксплуатации уязвимости CVE-2024-27198 в TeamCity
Единственный способ бороться с такой скоростью атак, по мнению Cloudflare, – использование искусственного интеллекта для быстрой разработки эффективных правил обнаружения. В отчёте поясняется, что скорость эксплуатации раскрытых уязвимостей часто превышает скорость создания правил для межсетевых экранов или разработки и развертывания исправлений для смягчения атак.
Отдельные злоумышленники специализируются на определённых категориях CVE и продуктах, что позволяет им быстро воспользоваться новыми недостатками. Такая направленность приводит к тому, что даже опытные команды безопасности не всегда успевают противодействовать угрозам.
Попытки эксплуатации RCE-уязвимостей в на конкретных продуктах
Также отмечается значительное увеличение объёма трафика DDoS-атак, которые составляют 6,8% от общего объёма интернет-трафика. Это заметное увеличение по сравнению с 6%, зафиксированными в период с 2022 по 2023 год. Во время крупных глобальных атак доля вредоносного трафика может достигать 12% от всего HTTP-трафика.
Объем HTTP DDoS-атак с течением времени
В первом квартале 2024 года было заблокировано в среднем 209 миллиардов киберугроз ежедневно, что на 86,6% больше по сравнению с аналогичным периодом прошлого года. Такой рост свидетельствует о значительном увеличении числа кибератак и усложнении задач по их предотвращению.
В своём отчёте Cloudflare также предоставляет дополнительные рекомендации для защитников и более глубокие инсайты по собранной статистике. Полный текст отчета доступендля скачивания.