لقد وجد الباحثون أنه في ما يقرب من 80 ٪ من الحالات ، تعد المسامير في النشاط الضار مثل استطلاع الشبكة والمسح المستهدف والمحاولات الغاشمة التي تستهدف أجهزة التواصل الحافة مقدمة للكشف عن الثغرات الأمنية الجديدة (CVE) في غضون ستة أسابيع.
تم اكتشاف ذلك من خلال شركة مراقبة التهديدات Greynoise ، والتي تشير إلى أن هذه الأحداث ليست عشوائية ، ولكنها تتميز إلى حد ما بأنماط قابلة للتكرار وذات دلالة إحصائية.
يقيم Greynoise هذا على البيانات من “شبكة المراقبة العالمية” (GOG) التي تم جمعها منذ سبتمبر 2024 ، لتطبيق عتبات إحصائية موضوعية لتجنب انتقاء الكرز في التنقل.
بعد إزالة بيانات صاخبة وغامضة ومنخفضة الجودة ، انتهت الشركة بـ 216 حدثًا مؤهلاً كأحداث سبايك ، مرتبط بثمانية بائعي Enterprise Edge.
“Across all 216 spike events we studied, 50 percent were followed by a new CVE within three weeks, and 80 percent within six weeks,” اشرح الباحثين.
كانت العلاقة أقوى بشكل ملحوظ بالنسبة لـ Ivanti و Sonicwall و Palo Alto Networks ومنتجات Fortinet ، وأضعف لميكروتيك ، سيتريكس ، وسيسكو. استهدفت الجهات الفاعلة التي ترعاها الدولة هذه الأنظمة مرارًا وتكرارًا للوصول الأولي والمثابرة.
المصدر: Greynoise
يلاحظ Greynoise أنه في معظم الحالات الكامنة وراء هذه”https://www.bleepingcomputer.com/news/security/nearly-24-000-ips-behind-wave-of-palo-alto-global-protect-scans/” الهدف=”_blank” rel=”nofollow noopener”> المسامير، يقوم المهاجمون بإجراء محاولات استغلال ضد العيوب القديمة والمعروفة.
يعتقد الباحثون أن هذا إما يسهل اكتشاف نقاط ضعف جديدة أو اكتشاف نقاط النهاية المعرضة للإنترنت التي يمكن استهدافها في المرحلة التالية من الهجوم ، والتي تستفيد من مآثر جديدة.
أ “Mine Canary”
تقليديًا ، يستجيب المدافعون بعد نشر CVE ، لكن نتائج Greynoise تظهر أن سلوك المهاجم يمكن أن يكون مؤشراً رائدًا وأداة لتنظيم الدفاعات الاستباقية.
تمنح طفرات الكشف المسبق هذه النافذة لإعداد الأنظمة ، وتعزيز المراقبة ، وتصلب الأنظمة ضد هجوم محتمل ، حتى لو لم يحميها تحديث أمني ولا يدرك أي مكون أو وظيفة النظام مستهدف بالفعل.
يوصي Greynoise بمراقبة نشاط المسح بشكل وثيق وحظر IPs المنشأ على الفور ، لأن هذا يستبعدها من الاستطلاع الذي يؤدي عادة إلى هجمات فعلية لاحقًا.
يؤكد الباحثون على أنه من المتوقع أن يكون هناك عمليات مسح للعيوب القديمة في هذه الحالات ، حيث يهدف المهاجمون إلى تصنيف الأصول المكشوفة. وبالتالي ، لا ينبغي تجاهل هؤلاء كمحاولات فاشلة لخرق نقاط النهاية المحمولة بالكامل.
المصدر: Greynoise
على التطوير ذي الصلة ، Google’s’s”https://googleprojectzero.blogspot.com/2025/07/reporting-transparency.html” الهدف=”_blank” rel=”nofollow noopener”> أعلن مشروع صفر أنه سيبدأ في إبلاغ الجمهور بأنه قد تم اكتشاف الضعف في غضون أسبوع ، مما يساعد مدراء النظام على تعزيز دفاعاتهم بينما يعمل البائعون على تطوير التصحيح.
سيشارك Project Zero الآن البائع/المشروع والمنتج المتأثر بالخلل الجديد ووقت الاكتشاف والموعد النهائي للإفصاح (لا يزال في 90 يومًا).
تفتقر إلى التفاصيل الفنية ، أو مآثر إثبات المفهوم ، أو أي معلومات أخرى يمكن أن تطرح المهاجمين ، تتوقع Google أن هذا التغيير ليس له أي تأثير سلبي على الأمان وفي نفس الوقت يساعد في تقليل “patch gap.”