يحذر محللو الأمن في Google Mandiant من اتجاه جديد مثير للقلق يتمثل في إظهار الجهات الفاعلة في مجال التهديد قدرة أفضل على اكتشاف واستغلال ثغرات اليوم الأول في البرامج.
على وجه التحديد، من بين 138 نقطة ضعف تم الكشف عنها باعتبارها مستغلة بشكل نشط في عام 2023، يقول مانديانت إن 97 (70.3٪) تم استغلالها كيوم صفر.
وهذا يعني أن الجهات الفاعلة في مجال التهديد استغلت العيوب في الهجمات قبل أن يعلم البائعون المتأثرون بوجود الأخطاء أو أن يتمكنوا من تصحيحها.
من عام 2020 حتى عام 2022، ظلت النسبة بين عدد الأيام (العيوب الثابتة) والأيام الصفرية (لا يتوفر إصلاح) ثابتة نسبيًا عند 4:6، ولكن في عام 2023، تحولت النسبة إلى 3:7.
جوجل”https://cloud.google.com/blog/topics/threat-intelligence/time-to-exploit-trends-2023″ الهدف=”_blank” rel=”nofollow noopener”> يشرح أن هذا لا يرجع إلى انخفاض عدد الأيام n المستغلة في البرية، بل زيادة في استغلال يوم الصفر وتحسين قدرة موردي الأمن على اكتشافه.
وينعكس هذا النشاط الخبيث المتزايد والتنويع في المنتجات المستهدفة أيضًا في عدد البائعين المتأثرين بالعيوب المستغلة بشكل نشط، والذي ارتفع في عام 2023 إلى رقم قياسي 56، ارتفاعًا من 44 في عام 2022 وأعلى من الرقم القياسي السابق البالغ 48 بائعًا في عام 2021.
أوقات الاستجابة أصبحت أكثر إحكاما
تم تسجيل اتجاه مهم آخر فيما يتعلق بالوقت المستغرق لاستغلال (TTE) الخلل الذي تم الكشف عنه حديثًا (n-day أو 0-day)، والذي انخفض الآن إلى خمسة أيام فقط.
للمقارنة، في 2018-2019، كان TTE 63 يومًا، وفي 2021-2022، كان TTE 32 يومًا. وقد أعطى هذا لمسؤولي النظام متسعًا من الوقت للتخطيط لتطبيق التصحيحات أو تنفيذ عمليات التخفيف لتأمين الأنظمة المتأثرة.
ومع ذلك، مع انخفاض مدة TTE الآن إلى 5 أيام، أصبحت الاستراتيجيات مثل تجزئة الشبكة والكشف في الوقت الفعلي وتحديد أولويات التصحيح العاجل أكثر أهمية.
وفي ملاحظة ذات صلة، لا ترى جوجل أي علاقة بين الكشف عن برمجيات إكسبلويت وTTE.
في عام 2023، تم الإعلان عن 75% من برمجيات إكسبلويت قبل بدء الاستغلال في البرية، وتم إطلاق 25% منها بعد أن استغل المتسللون العيوب بالفعل.
تم تسليط الضوء على مثالين في التقرير لتوضيح عدم وجود علاقة ثابتة بين توفر الاستغلال العام والنشاط الضار”https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-wordpress-woocommerce-payments-bug/” الهدف=”_blank”>CVE-2023-28121 (البرنامج المساعد وورد) و”https://www.bleepingcomputer.com/news/security/fortinet-new-fortios-rce-bug-may-have-been-exploited-in-attacks/” الهدف=”_blank”>CVE-2023-27997 (فورتينت فورتيوس).
في الحالة الأولى، بدأ الاستغلال بعد ثلاثة أشهر من الكشف وبعد عشرة أيام من نشر إثبات المفهوم.
وفي حالة FortiOS، تم استغلال الخلل على الفور تقريبًا في عمليات استغلال عامة، ولكن تم تسجيل أول حدث استغلال ضار بعد أربعة أشهر.
تلعب صعوبة الاستغلال، وتحفيز الجهات الفاعلة في التهديد، والقيمة المستهدفة، وتعقيد الهجوم بشكل عام دورًا في TTE، كما أن الارتباط المباشر أو المعزول مع توفر إثبات المفهوم (PoC) معيب وفقًا لـ Google.