Analistas de segurança do Google Mandiant alertam para uma tendência preocupante de atores de ameaças demonstrando maior capacidade de descobrir e explorar vulnerabilidades zero-day em softwares.
Especificamente, das 138 vulnerabilidades divulgadas como ativamente exploradas em 2023, a Mandiant relata que 97 (70,3%) foram utilizadas como zero-days.
Isso significa que os atores de ameaças exploraram as falhas em ataques antes que os fornecedores impactados soubessem da existência dos bugs ou tivessem conseguido corrigi-los.
De 2020 até 2022, a proporção entre n-days (falhas corrigidas) e zero-days (sem correção disponível) permaneceu relativamente estável em 4:6, mas em 2023, a proporção mudou para 3:7.
O Google explica que isso não se deve a uma queda no número de n-days explorados ao vivo, mas sim a um aumento na exploração de zero-days e à melhor capacidade dos fornecedores de segurança em detectá-los.
Esse aumento na atividade maliciosa e diversificação nos produtos visados também se reflete no número de fornecedores impactados por falhas ativamente exploradas, que aumentou em 2023 para um recorde de 56, de 44 em 2022 e maior que o recorde anterior de 48 fornecedores em 2021.
Outra tendência significativa foi registrada em relação ao tempo para exploração (TTE) de uma falha recém-divulgada (n-day ou 0-day), que agora caiu para apenas cinco dias.
Para comparação, em 2018-2019, o TTE era de 63 dias, e em 2021-2022, o TTE foi de 32 dias.
Isso dava aos administradores de sistemas bastante tempo para planejar a aplicação de patches ou implementar mitigações para proteger os sistemas impactados.
No entanto, com o TTE agora reduzido para 5 dias, estratégias como segmentação de rede, detecção em tempo real e priorização urgente de patch se tornam muito mais críticas.
Em nota relacionada, o Google não vê uma correlação entre a divulgação de exploits e o TTE.
Em 2023, 75% dos exploits foram tornados públicos antes que a exploração ao vivo começasse, e 25% foram lançados depois que os hackers já estavam explorando as falhas.
Dois exemplos destacados no relatório para mostrar que não há uma relação consistente entre a disponibilidade de exploit público e a atividade maliciosa são
CVE-2023-28121
(plugin do WordPress) e
CVE-2023-27997
(Fortinet FortiOS).
No primeiro caso, a exploração começou três meses após a divulgação e dez dias após a publicação de um proof-of-concept.
No caso do FortiOS, a falha foi armada quase imediatamente em exploits públicos, mas o primeiro evento de exploração maliciosa foi registrado quatro meses depois.
Dificuldade de exploração, motivação do ator de ameaça, valor do alvo e complexidade geral do ataque desempenham um papel no TTE, e uma correlação direta ou isolada com a disponibilidade do PoC é falha, segundo o Google.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...