Palo Alto Unit 42 Incident Response Report 2022.
Ha tudjuk mit keresnek a támadók, akkor azt is tudjuk mit kell védeni – alcímmel jelent meg a Palo Alto Unit 42 éves incidenskezelési jelentése, amelyben ismertetik az támadási trendeket, incidenstípusokat, a támadások kezdeti hozzáféréseit, a leginkább kihasznált sérülékenységeket, valamint a leginkább célba vett iparágakat.
A jelentés ismerteti, hogy a hackerek folyamatosan figyelik új sérülékenységi jelentéseket, amelyeket a vállalati hálózathoz való kezdeti hozzáféréshez vagy távoli kódfuttatáshoz használhatnak. A támadók általában a CVE bejelentését követő 15 percen belül kezdik el keresni a sebezhetőséget, ezután órákon belül megfigyelhetők az első aktív kihasználási kísérletek.
Példaként az F5 BIG-IP termékek egy kritikus, hitelesítés nélküli távoli parancsvégrehajtási sérülékenységét hozta fel az Unit 42. A CVE-2022-1388 sérülékenységet 2022. május 4-én hozták nyilvánosságra, és a nyilvánosságra kerülése után tíz óra elteltével már 2552 szkennelési és kihasználási kísérletet rögzítettek.
A Palo Alto által gyűjtött adatok alapján a 2022 első félévében a hálózati hozzáférés szempontjából leginkább kihasznált sérülékenység a ProxyShell volt, amely az összes rögzített kihasználási incidens 55%-át tette ki. A második helyen a Log4Shell következik 14%-kal, a különböző SonicWall CVE-k 7%-ot, a ProxyLogon 5%-ot, míg a Zoho ManageEngine ADSelfService Plus távoli kódfuttatási sérülékenységét az esetek 3%-ában használták ki.
Ez azt is jelzi, hogy nem a legfrissebb sérülékenyégeket használják ki tömegesen, hanem a régebbi, nagy sérülékenységeket, ami abból adódik, hogy ezek sok rendszeren jelen vannak, összetettek sérülékenységek. Másrészt egy több, mint egy éve publikált és javított sérülékenység a hálózaton az a rendszergazdák, üzemeltetők hanyagságából is adódhat.