В 2024 году злоумышленники не просто использовали уязвимости, они автоматизировали их эксплуатацию в промышленных масштабах, превращая интернет в среду для массовых атак.
Атаки начинались буквально через часы после раскрытия новых уязвимостей. При этом 40% эксплуатируемых уязвимостей существовали не менее четырех лет, а некоторые восходили еще к 1990-м годам. Группы, занимающиеся программами-вымогателями, активно использовали почти 30% уязвимостей из списка KEV (Known Exploited Vulnerabilities), отслеживаемых GreyNoise.
GreyNoise зафиксировала активное сканирование интернета и попытки эксплуатации уязвимостей с тысяч IP-адресов, что подтверждает: скорость атак опережает возможности защиты.
Наиболее значимые атаки 2024 года
Одной из самых активно эксплуатируемых уязвимостей 2024 года стала проблема в домашних интернет-роутерах. Она позволила создать масштабные ботнеты, используемые в кибератаках.
Среди наиболее часто атакуемых уязвимостей остаются и давно известные. Злоумышленники продолжают эксплуатировать публично раскрытые уязвимости, некоторые из которых были обнаружены еще в прошлом веке.
GreyNoise зафиксировала эксплуатацию ряда уязвимостей еще до их включения в каталог KEV Агентства по кибербезопасности и защите инфраструктуры США (CISA). Это подчеркивает важность оперативного реагирования и получения актуальной информации о киберугрозах.
28% уязвимостей из списка KEV, отслеживаемых GreyNoise, активно использовались группами, распространяющими программы-вымогатели, что делает массовую эксплуатацию уязвимостей ключевым инструментом в финансово мотивированных атаках.
В мае 2024 года было зафиксировано масштабное событие – более 12 000 уникальных IP-адресов участвовали в атаке, нацеленной на устройства на базе Android.
Почему это угроза прямо сейчас
Традиционные стратегии обновления не успевают за атаками – киберпреступники автоматизируют эксплуатацию уязвимостей быстрее, чем компании успевают оценить, приоритизировать и внедрить исправления.
Ключевые риски:
- Массовая эксплуатация уязвимостей развивается быстрее, чем традиционные процессы киберзащиты.
- Организациям необходима не просто система оповещений, а инструменты, предоставляющие информацию в реальном времени.
- Группы, распространяющие программы-вымогатели, автоматизируют атаки, делая уязвимости основным способом первоначального проникновения в системы.
- Домашние роутеры и устройства IoT все чаще становятся целями атак, а организации зачастую не учитывают эти потенциальные векторы угроз.
Самые активные атаки на уязвимости в 2024 году
Злоумышленники не ограничиваются эксплуатацией новых уязвимостей. Многие из наиболее атакуемых проблем остаются известными уже много лет, что заставляет пересмотреть традиционные подходы к управлению исправлениями.
GreyNoise зафиксировала наиболее часто используемые уязвимости:
- CVE-2018-10561 (GPON Router Worm) – 96 042 уникальных IP
- CVE-2014-8361 (Realtek Miniigd UPnP Worm) – 41 522 уникальных IP
- CVE-2016-6277 (NETGEAR Command Injection) – 40 597 уникальных IP
- CVE-2023-30891 (Tenda AC8 Router Exploit) – 29 620 уникальных IP
- CVE-2016-20016 (MVPower CCTV DVR RCE) – 17 496 уникальных IP
Эти уязвимости активно использовались на протяжении всего года в ходе кампаний по массовому сканированию интернета, для построения ботнетов и в атаках с применением программ-вымогателей.
GreyNoise предупреждает: массовая эксплуатация уязвимостей становится не просто проблемой нулевых дней (zero-day), а системным вызовом, охватывающим как новые, так и старые уязвимости. Как отметил основатель GreyNoise Эндрю Моррис, злоумышленники все меньше заботятся о баллах CVSS или списках KEV – они просто сканируют интернет в поисках открытых целей.
В 2025 году защита от массовых атак потребует более оперативного реагирования и использования данных в реальном времени, а не традиционных стратегий обновления.