Os hackers aceleraram: desde a publicação de dados sobre vulnerabilidades até o início dos ataques a eles, não leva mais de 15 minutos

Como um novo estudo mostrou, os administradores de grandes recursos de rede têm muito pouco tempo para se proteger contra novas falhas de segurança em seus sistemas. Assim que as informações sobre novas vulnerabilidades são publicadas na Web, os invasores começam a procurá-las em 15 minutos. Este negócio não requer profissionais. Os dados primários podem ser coletados por amadores, que então vendem as informações coletadas na dark web.

Fonte da imagem: bleepingcomputer.com

De acordo com o Relatório de Resposta a Incidentes de 2022 da Unidade 42, os hackers estão constantemente atentos a anúncios de desenvolvedores e pesquisadores de segurança sobre detecção de vulnerabilidades. “O Relatório de Ameaças de Gerenciamento de Superfície de Ataque de 2022 descobriu que os invasores normalmente iniciam as varreduras de vulnerabilidade dentro de 15 minutos após o anúncio do CVE”, disse a empresa em uma postagem no blog.

As primeiras tentativas de exploração de novas vulnerabilidades começam a ser observadas poucas horas após a divulgação pública, o que permite que os invasores tenham acesso aos recursos atacados antes que os patches com correções sejam instalados. Como exemplo disso, os analistas citam a velocidade de resposta dos hackers à vulnerabilidade CVE-2022-1388 nos produtos BIG-IP da F5. A vulnerabilidade foi relatada em 4 de maio de 2022 e, 10 horas após a publicação, foram registradas 2.552 tentativas de verificar e explorar a vulnerabilidade.

Fonte da imagem: Unidade 42

Uma análise dos métodos de ataque também forneceu uma imagem interessante. O relatório afirma que, no primeiro semestre de 2022, as vulnerabilidades de acesso ao sistema mais exploradas foram a cadeia de exploração ProxyShell, que representou 55% de todos os hacks relatados. O ProxyShell é um ataque que combina três vulnerabilidades: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207.

É engraçado notar, mas as “décadas de vulnerabilidade” – Log4Shell – ficaram apenas em segundo lugar com uma participação de 14%. Outros 7% dos ataques são variações do SonicWall, 5% são ProxyLogon e o RCE no Zoho ManageEngine ADSelfService Plus foi usado em 3% dos casos. É fácil ver que vulnerabilidades não totalmente novas são exploradas. A técnica já foi desenvolvida e não requer muitas habilidades. Mas isso não significa que novas vulnerabilidades sejam condicionalmente seguras. Em primeiro lugar, são falhas nos sistemas mais seguros, cujos administradores são os mais rápidos a responder às ameaças. São precisamente esses sistemas que os hackers profissionais atacam nas primeiras horas na esperança de uma reação tardia dos administradores.

Fonte da imagem: Unidade 42

Quanto à primeira entrada em sistemas vulneráveis, cerca de um terço dos casos deve-se a falhas no software. O phishing permite que você insira 37% dos casos de hackers. Outros 15% são contabilizados no total por login “brutal” e credenciais comprometidas. Os métodos de engenharia social e o suborno representam mais 10% dos casos de entrada. Segue-se daí que a corrida contra o tempo na instalação de patches é importante apenas para redes sérias, enquanto os usuários comuns compartilham dados confidenciais principalmente por negligência ou desatenção.