По данным ежегодного отчета Darktrace об угрозах, опубликованного в среду, периферийные устройства, содержащие уязвимости нулевого и n-дневного типов, были связаны с наиболее масштабными атаками в прошлом году.
Исследователи угроз Darktrace обнаружили наиболее частые эксплойты уязвимостей в клиентских экземплярах устройств Ivanti Connect Secure и Ivanti Policy Secure, а также в продуктах межсетевых экранов от Fortinet и Palo Alto Networks.
В отчете говорится, что поставщики решений кибербезопасности поставляли продукты, которые в конечном итоге стали первоначальным вектором доступа для большинства наиболее значимых кампаний атак в прошлом году.
Поставщики оборудования и услуг безопасности были ответственны за четыре из шести наиболее часто эксплуатируемых уязвимостей, обнаруженных Darktrace: две уязвимости, затрагивающие продукты Ivanti ( CVE-2023-46805 и CVE-2024-21887 ); три уязвимости, затрагивающие межсетевые экраны Palo Alto Networks, работающие под управлением PAN-OS ( CVE-2024-3400 , CVE-2024-0012 и CVE-2024-9474 ); и уязвимость, затрагивающая инструмент управления сетью FortiManager от Fortinet ( CVE-2024-47575 ).
«Эти устройства находятся на границе вашей сети, и это ваш последний объект наблюдения и, следовательно, дверь в ваш дом», — рассказал CyberScoop Натаниэль Джонс, вице-президент по исследованию угроз в Darktrace.
«Если им удаётся обойти компании, занимающиеся кибербезопасностью, значит, они обходят именно те средства обнаружения, которые эти компании предоставляют клиентам», — сказал Джонс. «Вы как бы проникаете под конкретную систему, которая должна вас обнаруживать, и таким образом получаете доступ».
Группы киберпреступников всё больше вкладывают ресурсы в изучение и обратную разработку широко распространённых сетевых периферийных устройств. Это подтверждается исследованием Darktrace, дополняющим каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , особенно в отношении нарушителей, совершающих повторные атаки, — поставщиков, которые часто появляются в постоянно обновляемом ресурсе агентства, посвящённом уязвимостям, эксплуатируемым группами киберпреступников.
По словам Джонса, за атаки нулевого дня на сетевые периферийные устройства, скорее всего, ответственны группировки угроз на уровне национальных государств, поскольку у них есть ресурсы, но эти уязвимости имеют длительный срок существования и регулярно становятся мишенью для финансово мотивированных групп угроз, когда появляются доказательства концепций.
«Время на управление исправлениями и их закрытие сокращается, поэтому становится сложно контролировать CVE на этих устройствах в очень сжатые сроки», — сказал Джонс. «Если вы этим не занимаетесь или у вас очень мало ресурсов и у вас есть другие задачи по поддержке бизнеса, это может стать проблемой».
Злоумышленники также нацеливаются на периферийные устройства, поскольку они предоставляют больше возможностей для использования методов жизни на суше и захвата скомпрометированных учетных данных или создания других учетных данных для получения постоянного доступа и горизонтального перемещения по сетям.
Сорок процентов вредоносной активности, обнаруженной исследователями Darktrace в первой половине прошлого года, были связаны с использованием устройств с доступом в интернет. Вредоносное ПО для кражи информации резко возросло и стало наиболее заметным видом активности, замеченным Darktrace во второй половине 2024 года.
Ежегодный отчет Darktrace об активных угрозах за 2024 год основан на исследованиях, проведенных в отношении почти 10 000 клиентских развертываний.
Исследователи угроз Darktrace обнаружили наиболее частые эксплойты уязвимостей в клиентских экземплярах устройств Ivanti Connect Secure и Ivanti Policy Secure, а также в продуктах межсетевых экранов от Fortinet и Palo Alto Networks.
В отчете говорится, что поставщики решений кибербезопасности поставляли продукты, которые в конечном итоге стали первоначальным вектором доступа для большинства наиболее значимых кампаний атак в прошлом году.
Поставщики оборудования и услуг безопасности были ответственны за четыре из шести наиболее часто эксплуатируемых уязвимостей, обнаруженных Darktrace: две уязвимости, затрагивающие продукты Ivanti ( CVE-2023-46805 и CVE-2024-21887 ); три уязвимости, затрагивающие межсетевые экраны Palo Alto Networks, работающие под управлением PAN-OS ( CVE-2024-3400 , CVE-2024-0012 и CVE-2024-9474 ); и уязвимость, затрагивающая инструмент управления сетью FortiManager от Fortinet ( CVE-2024-47575 ).
«Эти устройства находятся на границе вашей сети, и это ваш последний объект наблюдения и, следовательно, дверь в ваш дом», — рассказал CyberScoop Натаниэль Джонс, вице-президент по исследованию угроз в Darktrace.
«Если им удаётся обойти компании, занимающиеся кибербезопасностью, значит, они обходят именно те средства обнаружения, которые эти компании предоставляют клиентам», — сказал Джонс. «Вы как бы проникаете под конкретную систему, которая должна вас обнаруживать, и таким образом получаете доступ».
Группы киберпреступников всё больше вкладывают ресурсы в изучение и обратную разработку широко распространённых сетевых периферийных устройств. Это подтверждается исследованием Darktrace, дополняющим каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры , особенно в отношении нарушителей, совершающих повторные атаки, — поставщиков, которые часто появляются в постоянно обновляемом ресурсе агентства, посвящённом уязвимостям, эксплуатируемым группами киберпреступников.
По словам Джонса, за атаки нулевого дня на сетевые периферийные устройства, скорее всего, ответственны группировки угроз на уровне национальных государств, поскольку у них есть ресурсы, но эти уязвимости имеют длительный срок существования и регулярно становятся мишенью для финансово мотивированных групп угроз, когда появляются доказательства концепций.
«Время на управление исправлениями и их закрытие сокращается, поэтому становится сложно контролировать CVE на этих устройствах в очень сжатые сроки», — сказал Джонс. «Если вы этим не занимаетесь или у вас очень мало ресурсов и у вас есть другие задачи по поддержке бизнеса, это может стать проблемой».
Злоумышленники также нацеливаются на периферийные устройства, поскольку они предоставляют больше возможностей для использования методов жизни на суше и захвата скомпрометированных учетных данных или создания других учетных данных для получения постоянного доступа и горизонтального перемещения по сетям.
Сорок процентов вредоносной активности, обнаруженной исследователями Darktrace в первой половине прошлого года, были связаны с использованием устройств с доступом в интернет. Вредоносное ПО для кражи информации резко возросло и стало наиболее заметным видом активности, замеченным Darktrace во второй половине 2024 года.
Ежегодный отчет Darktrace об активных угрозах за 2024 год основан на исследованиях, проведенных в отношении почти 10 000 клиентских развертываний.
