Обзор ситуации с угрозами 2023 года: если все критично, то ничего страшного

Поскольку 2023 год подходит к концу, пришло время сделать паузу и поразмыслить. Пришло время оценить, что сработало, а что нет, что привлекло наше внимание и вызвало сбои, а что осталось незамеченным. Что еще более важно, нам нужно знать, какие уроки мы извлекли из 2023 года, чтобы мы могли лучше управлять рисками в следующем году. В соответствии с этим, Подразделение Qualys по исследованию угроз подготовило обширную серию блогов для обзора ситуации с угрозами в 2023 году.

Основные выводы:

• Менее одного процента уязвимостей создавали наибольший риск и регулярно использовались в естественных условиях.
• 97 уязвимостей высокого риска, которые могут быть использованы, не были частью каталога известных эксплуатируемых уязвимостей (KEV) CISA.
• 25 процентов этих уязвимостей в системе безопасности были немедленно использованы, причем эксплойт был опубликован в тот же день, когда была публично раскрыта сама уязвимость.
• 1/3 уязвимостей высокого риска затронули сетевые устройства и веб-приложения.
• Использование удаленных служб, общедоступных приложений и использование с целью повышения привилегий – три лучшие тактики MITRE ATT & CK.

Статистика за 2023 год

На момент написания этой статьи в 2023 году было раскрыто 26 447 уязвимостей, что превышает общее количество уязвимостей, раскрытых в 2022 году, более чем на 1500 CVE. Это продолжение многолетней тенденции обнаружения большего количества уязвимостей, чем годом ранее.

Однако не все уязвимости представляют высокий риск; фактически, небольшое подмножество (менее 1%) создает наибольший риск. К этим особенно критичным уязвимостям относятся те, которые содержат оружейный эксплойт, активно используются программами-вымогателями, исполнителями угроз и вредоносными программами или имеют подтвержденные свидетельства использования в естественных условиях. Именно эти уязвимости мы подробно рассмотрим.

Ситуация с уязвимостями и угрозами 2023 года

Давайте глубже рассмотрим разбивку уязвимостей 2023 года.

Подразделение Qualys по исследованию угроз (TRU) проанализировало уязвимости высокого риска, чтобы получить больше информации и обсудить общие тенденции. TRU проверил, какие атаки использовались чаще всего, какие методы и тактики использовались, и какие стратегии мы можем использовать для усиления защиты от них. Некоторые основные моменты их выводов.:

• Более 7000 уязвимостей содержат код эксплойта, подтверждающий концепцию. Эти уязвимости могут привести к успешной эксплуатации; однако код эксплойта, как правило, более низкого качества, что может снизить вероятность успешной атаки.
• В 206 уязвимостях был доступен код боевого эксплойта. Эксплойты для этих уязвимостей с высокой вероятностью могут скомпрометировать целевую систему, если они будут использованы.
• Было обнаружено 115 уязвимостей, которыми регулярно пользовались субъекты угроз, вредоносное ПО и группы программ-вымогателей, такие как CL0P.
• Из обнаруженных уязвимостей 109 имели известные признаки эксплуатации и были перечислены в CISA KEV.
• 97 уязвимостей использовались в реальном времени, но не были включены в список CISA KEV. Примечание: Организациям, которые определяют приоритеты на основе CISA KEV, следует уделять особое внимание этим уязвимостям.
• Группы программ-вымогателей, такие как LockBit и Cerber, воспользовались 20 уязвимостями.
• Кроме того, 15 уязвимостей были использованы вредоносными программами и группами ботнетов.

Основные типы уязвимостей

Более трети выявленных уязвимостей высокого риска могут быть использованы удаленно. Пять наиболее распространенных типов уязвимостей составили более 70 процентов от общего числа обнаруженных. Это подчеркивает острую необходимость комплексной стратегии управления уязвимостями, которая включает возможности удаленного сканирования, а не полагается исключительно на агентные методы.

Ключевые идеи

Среднее время для использования уязвимостей высокого риска в 2023 году

В 2023 году мы стали свидетелями критической тенденции в использовании уязвимостей высокого риска. Наш анализ показывает поразительное понимание того, как быстро злоумышленники извлекают выгоду из этих уязвимостей.

Среднее время использования уязвимостей в 2023 году составляет 44 дня (около полутора месяцев).

Однако это среднее значение маскирует срочность ситуации. Во многих случаях эксплойты уязвимостей были доступны в тот же день, когда они были опубликованы. Это немедленное действие отражает изменение в способах действий злоумышленников, подчеркивая их растущую эффективность и постоянно сокращающееся время для реагирования со стороны защитников.

Давайте подробнее рассмотрим данные за период от нуля до 25 дней.

Двадцать пять процентов CVE с высоким уровнем риска были использованы в день публикации: ошеломляющие 25 процентов этих уязвимостей в системе безопасности были немедленно использованы, причем эксплойт был опубликован в тот же день, когда была публично раскрыта сама уязвимость. Эта статистика служит тревожным сигналом для организаций занять активную позицию в отношении управления исправлениями и анализа угроз.

Трехнедельный период: данные также показывают, что 75 процентов уязвимостей были использованы в течение 19 дней (примерно трех недель) с момента публикации. Эта временная шкала предоставляет организациям решающее окно для определения приоритетов и устранения наиболее критичных уязвимостей.

Треть уязвимостей высокого риска обнаружена в сетевой инфраструктуре и веб-приложениях

Существенные 32,5% из 206 выявленных уязвимостей находятся в сетевой инфраструктуре или доменах веб-приложений — секторах, которые традиционно трудно защитить обычными средствами.

Это подчеркивает необходимость комплексной стратегии управления уязвимостями. Внедряя различные методы управления уязвимостями, включая методы на основе агентов, без агентов и сетевые методы, организации могут обеспечить обширную и упреждающую защиту всех ИТ-активов. Такая многосторонняя стратегия необходима для эффективного обнаружения и устранения угроз, тем самым повышая безопасность и соответствие требованиям в областях, особенно подверженных сложным киберрискам. Qualys расширяет сферу защиты, включая поддержку агентов, а также возможности сетевого, внешнего и пассивного сканирования, предоставляя организациям подробное и разнообразное представление об их состоянии безопасности.

Более 50 процентов уязвимостей высокого риска Используются участниками угроз и группами программ-вымогателей

Из 206 отслеженных нами уязвимостей высокого риска более 50 % были использованы злоумышленниками, программами-вымогателями или вредоносными программами для компрометации систем.

• 115 случаев использования названными участниками угроз.
• 20 программ-вымогателей, эксплуатируемых.
• 15 вредоносных программ и ботнетов, эксплуатируемых.

Выявленные уязвимости охватывают обширный набор систем и приложений, включая, но не ограничиваясь ими, PaperCut NG, MOVEit Transfer, различные операционные системы Windows, Google Chrome, Atlassian Confluence и Apache ActiveMQ. Этот масштаб демонстрирует, что ни одно приложение не находится вне досягаемости злоумышленников, которые полны решимости использовать любую уязвимость для компрометации систем.

Примечательно, что многие из этих уязвимостей, такие как обнаруженные в MOVEit Transfer, Windows SmartScreen и Google Chrome, можно использовать удаленно, устраняя необходимость физического доступа к целевой системе.

Определенные уязвимости позволяют злоумышленникам обходить механизмы аутентификации, как это наблюдалось в случае с уязвимостями в PaperCut NG, или повышать свои привилегии, например, с уязвимостями драйверов файловой системы Windows Common Log. Эти типы уязвимостей вызывают особую тревогу из-за их способности предоставлять злоумышленникам более высокие уровни доступа, тем самым упрощая компрометацию системы и усилия по эксфильтрации данных.

Более того, уязвимости, обнаруженные в таких платформах, как Fortra GoAnywhere MFT и Apache ActiveMQ, способны облегчить удаленное выполнение кода или внедрение команд. Они позволяют злоумышленникам запускать произвольные команды, что может привести к полному контролю над системой.

Угрозы кибербезопасности, часто нацеленные на определенные версии программного обеспечения, как показано в MOVEit Transfer, требуют динамичной и всеобъемлющей стратегии. Это включает регулярные обновления, исправления, оценки уязвимостей и надежную аутентификацию. Упреждающие меры имеют решающее значение для эффективной защиты от этих развивающихся и сложных угроз, а не просто ответные действия.

Лучшие тактики и приемы MITRE ATT & CK

В 2023 году все 206 уязвимостей в нашем наборе данных были применены в качестве оружия, что дает четкое представление о тактике, используемой киберпреступниками. Здесь мы рассмотрим лучшие методы MITRE ATT & CK, используемые в этих эксплойтах, проливая свет на наиболее распространенные способы кибератак:

1. Использование удаленных служб (T1210 и T0866): Это наиболее часто встречающийся метод, 72 случая в корпоративных средах и 24 в промышленных системах управления (ICS). Этот метод, используемый для начального доступа и горизонтального перемещения, подчеркивает важность защиты протоколов удаленного обслуживания от несанкционированного доступа и эксплуатации.
2. Использование общедоступных приложений (T1190 и T0819): 53 раза в корпоративных доменах и 19 раз в ICS, этот метод нацелен на приложения, доступные из Интернета. Это предпочтительный маршрут начального доступа для злоумышленников, демонстрирующий острую потребность в надежной защите внешних приложений.
3. Использование для повышения привилегий (T1068): Отмеченный 20 раз, этот метод предполагает использование злоумышленниками уязвимостей для получения более высоких привилегий в системе. Его возникновение подчеркивает необходимость эффективного управления привилегиями и мониторинга в корпоративных сетях.

В дополнение к доминирующим методам, в 2023 году другие тактики внесли свой вклад в разнообразную матрицу угроз, например:

• Использование для выполнения клиентом (T1203)
• Повышение привилегий на мобильных устройствах (T1404)
• Эксплуатация приложений / системы (T1499.004)
• Внешние удаленные службы (T1133)
• Компромат на ходу (T1189)
• Повышение привилегий в ICS (T0890)
• Вредоносная ссылка (T1204.001)
• Использование удаленных служб на мобильных устройствах (T1428)

Каждый из этих методов представляет собой отдельную проблему в области кибербезопасности, позволяя понять эволюционирующую тактику киберпреступников. От использования общедоступных приложений до использования удаленных служб и выполнения повышения привилегий – эти методы рисуют картину сложного и многогранного ландшафта угроз. Понимание этих распространенных методов атак имеет решающее значение для разработки более эффективных стратегий защиты и усиления мер кибербезопасности против этих распространенных угроз.

Самые активные угрозы

Наиболее используемые уязвимости

В этом году некоторые уязвимости были признаны наиболее часто используемыми. К ним относятся:

CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880, CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE-2023-29059, CVE-2023-34362

Количество эксплойтов этих уязвимостей указывает на трендовые векторы атак и подчеркивает необходимость целенаправленных защитных стратегий.

CVE	Название	Оценка уязвимостей Qualys (QVS)
CVE-2023-0669	Уязвимость RCE в системе управляемой передачи файлов (MFT) Fortra GoAnywhere	95
CVE-2023-20887	Уязвимость при внедрении команд VMware Aria Operations for Networks	95
CVE-2023-22952	Уязвимость SugarCRM для удаленного выполнения кода (RCE)	95
CVE-2023-23397	Уязвимость с повышением привилегий в Microsoft Outlook	95
CVE-2023-24880	Уязвимость обхода функции безопасности Windows SmartScreen	95
CVE-2023-27350	PaperCut NG / MF Множественные уязвимости в системе безопасности	100
CVE-2023-28252	Уязвимость с повышением привилегий драйвера файловой системы общего журнала Windows	95
CVE-2023-2868	Уязвимость шлюза безопасности электронной почты Barracuda	95
CVE-2023-29059	Уязвимость цепочки поставок настольных клиентов 3CX	95
CVE-2023-34362	Уязвимость при внедрении MOVEit Transfer	100

Смотрите пост в блоге для получения подробного списка наиболее часто используемых уязвимостей.

Самые активные участники угроз 2023 года

В 2023 году киберпространство потрясло TA505, также известное как банда программ-вымогателей CL0P. Эта группа организовала громкую кибератаку, используя уязвимости нулевого дня, и они, в частности, использовали уязвимости нулевого дня в ключевых платформах, таких как GoAnywhere MFT, PaperCut, MOVEit и SysAid. Изощренное использование различных типов вредоносных программ для сбора информации и облегчения атак обозначило их как серьезную угрозу. Серьезность их действий вызвала рекомендации Агентства по кибербезопасности и инфраструктурной безопасности (CISA) и Федерального бюро расследований (ФБР), в которых подчеркивается необходимость улучшения мер кибербезопасности.

Самое активное вредоносное ПО 2023 года

В 2023 году LockBit и Clop заняли видное место на арене программ-вымогателей. LockBit, используя свою передовую модель “программа-вымогатель как услуга”, нацелилась на ряд организаций, в том числе в ИТ- и финансовом секторах. Примечательно, что LockBit использовал уязвимости, такие как CVE-2023-27350 в PaperCut NG и CVE-2023-0699 в Google Chrome, позволяя удаленным злоумышленникам обходить аутентификацию и использовать повреждение кучи.

Clop, известная использованием уязвимостей, провела масштабные атаки на крупные предприятия, особенно в секторах финансов, информационных технологий и здравоохранения. Деятельность Clop включала использование CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 и CVE-2023-35036. Эти уязвимости варьировались от внедрения SQL в MOVEit Transfer, разрешающего доступ к базе данных, до внедрения команды предварительной аутентификации в GoAnywhere MFT и обхода аутентификации в PaperCut NG.

Ситуация с кибербезопасностью развивается по мере распространения хакерских инструментов и знаний, позволяющих менее квалифицированным хакерам использовать уязвимости, которые когда-то были доступны только очень изощренным злоумышленникам. Это расширяет спектр атак, включая продвинутых хакеров, менее опытных злоумышленников и цифровых активистов, что знаменует значительный сдвиг в динамике киберугроз.

Эти примеры подчеркивают скорость, с которой уязвимости могут распространяться от публикации к вооруженному эксплойту и далее к эксплуатации, и иллюстрируют быстроту, с которой киберугрозы развиваются после раскрытия уязвимостей. Эта быстрая эволюция от публикации к эксплуатации и вооружению подчеркивает острую необходимость для организаций внимательно отслеживать раскрытие информации и внедрять механизмы быстрого реагирования для предотвращения потенциальных атак.

Qualys VMDR с TruRisk упрощает приоритизацию эксплуатируемых уязвимостей, предоставляя четкую оценку TruRisk (QVS) для каждой уязвимости. Эта система оценки, понятная техническим и нетехническим командам, помогает выявлять проблемы высокого риска. Уязвимости с QVS более 90, которые TruRisk постоянно оценивает, должны быть приоритетными и оперативно устраняться для эффективного управления рисками.

Заключение

Завершая наш анализ ситуации с угрозами в 2023 году, становится очевидным, что быстрые темпы распространения уязвимостей и разнообразие участников угроз создают серьезные проблемы для организаций во всем мире. Вот несколько ключевых рекомендаций по снижению риска.:

• Для точной оценки реального риска, связанного с открытыми уязвимостями внутри организации, важно, чтобы предприятия использовали полный набор датчиков, начиная от агентов, сетевых сканеров и заканчивая внешними сканерами.
• Тщательно проведите инвентаризацию всех общедоступных приложений и удаленных служб, чтобы убедиться, что они не подвержены уязвимостям высокого риска.
• Применяйте многогранный подход к расстановке приоритетов уязвимостей. Сосредоточьтесь на тех, о которых известно, что их используют в естественных условиях (начните с CISA KEV), на тех, у кого высокая вероятность использования (обозначается высоким баллом EPSS), и на тех, у кого доступен код боевого эксплойта.

Эти рекомендации помогут усилить острую потребность в надежном, упреждающем подходе к уязвимости и управлению рисками, особенно во все более изощренную и повсеместную эпоху киберугроз.