سوءاستفاده از ضعف‌های امنیتی، سریعتر از همیشه

گزارش اخیر محققان امنیتی در شرکت رپید7 (.Rapid7, LLC) حاکی از آن است که مهاجمان خیلی سریع از آسیب‌پذیری‌های امنیتی سوء‌استفاده می‌کنند، اغلب در عرض یک هفته پس از افشای عمومی آنها.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده گزارش مذکور مورد بررسی قرار گرفته است.

جدیدترین گزارش سالانه آسیب‌پذیری شرکت رپید7 که 8 فروردین 1401 منتشر شده، نشان می‌دهد که میانگین زمان بهره‌‌جویی‌ از آسیب‌پذیری‌ها به میزان قابل توجهی کاهش یافته و به 12 روز رسیده است، این در حالی است که این مقدار در گزارش سال گذشته این شرکت 42 روز ثبت شده بود.

بر این اساس، محققان شرکت مذکور اعلام نموده‌اند که سازمان‌ها باید از طریق اجرای آزمایشی روال‌ها جهت «اعمال اصلاحیه‌های اضطراری و پاسخ‌دهی به رخدادها» آمادگی کاملی داشته باشند تا همچنان بتوانند با وجود تهدیدات امنیتی در این محیط چالش‌برانگیز، همواره یک قدم جلوتر باشند.

نفوذ سودجویانه

محققان در این مطالعه، 50 آسیب‌پذیری که در سال 2021 برای کسب‌وکارها خطرآفرین بود را زیر ذره‌بین قرار دادند. اکثر این ضعف‌های امنیتی، 43 مورد از 50 ضعف، به طور فعال مورد سوءاستفاده قرار گرفته‌ بودند. سه مورد از هر پنج تهدید گسترده و سودجویانه مهاجمان (60 درصد)، از نوع حملات باج‌افزاری بوده است. بیش از نیمی از این تهدیدات گسترده در ابتدا از ضعف‌های امنیتی «روز-صفر» سوءاستفاده نموده‌اند.

به نقل از شرکت رپید7، بهره‌جویی گروه‌های باج‌افزاری از این ضعف‌های امنیتی ترمیم نشده تنها یکی از انواع تهدیداتی است که تعداد آنها افزایش یافته است. گروه‌های جاسوسی سایبری تحت حمایت دولت‌ها یا گردانندگان تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) و حملات موسوم به رمزربایی (Cryptojacking) جهت استخراج غیرمجاز رمزارز نیز از دیگر تهدیدات رو به افزایش می‌باشند.

همچنین محققان شرکت مذکور مواردی را شناسایی کرده‌‎اند که در آن محصولات کاربردی آسیب‌پذیر سازمانی علاوه بر حملات باج‌افزاری و عملیات استخراج‌ غیرمجاز رمزارز، توسط چندین حمله APT نیز مورد سوءاستفاده قرار گرفتند. بنابراین منصفانه است که بگوییم بسیاری از آسیب‌پذیری‌ها به سرعت در حملات پیچیده و حملات سودجویانه بکار گرفته می‌شوند.

در طول سال‌ها، جامعه سایبری و صنعت امنیت سایبری، با به اشتراک گذاشتن اطلاعات و تخصص خود سود برده‌اند و متأسفانه این نکته در مورد مهاجمان نیز صدق می‌کند.

دوبرابر شدن میزان بهره‌جویی از ضعف‌های امنیتی «روز-صفر»

محققان امنیتی شرکت رپید7 در سال گذشته میلادی، 20 ضعف امنیتی از نوع «روز-صفر» را شناسایی و ثبت نمودند که این تعداد بیش از دو برابر تعدادی است که در گزارش سال قبل از آن، اعلام کرده بودند.

این در حالی است که طبق این گزارش، تعدادی از آسیب‌پذیری‌های «روز-صفر» از همان ابتدای افشای عمومی، توسط گروه‌های باج‌افزاری مورد سوءاستفاده قرار ‌گرفتند، اما بیشتر آنها بعد از سوءاستفاده شدن در حملات دیگر، در حملات باج‌افزاری بکار گرفته شده‌اند.

لیکن هیچ ارتباط مستقیمی بین بهره‌جویی سریعتر از آسیب‌پذیری‌های «روز-صفر» و تهدیدات رو به رشد ناشی از حملات باج‌افزاری وجود ندارد. در برخی موارد، مانند آسیب‌پذیری‌های ProxyLogon در سرورهای Microsoft Exchange، بهره‌جویی باج‌افزارها از آنها به سرعت آغاز شد اما در برخی دیگر، هفته‌ها یا ماه‌ها بعد از افشای عمومی آسیب‌پذیری‌‌های «روز-صفر»، این موارد در باج‌افزارها گنجانده و در حملات بکار گرفته شده‌اند.

اما کاملاً منطقی است که بپذیریم با ادامه تکامل گروه‌های باج‌افزاری و بهبود عملیات آنها، شاهد افزایش‌ سرعت و گستردگی حملات خواهیم بود.

گزارش کامل شرکت رپید7 در نشانی زیر قابل مطالعه می‌باشد.

https://www.rapid7.com/blog/post/2022/03/28/analyzing-the-attack-landscape-rapid7s-annual-vulnerability-intelligence-report/

منبع:

https://portswigger.net/daily-swig/attackers-getting-faster-at-latching-onto-unpatched-vulnerabilities-for-stealth-hacking-campaigns-report