Agentes de ameaças estão rápidos em armamentizar exploits de prova de conceito (PoC) disponíveis em ataques reais, às vezes em tão rápido quanto 22 minutos após os exploits serem tornados públicos.
Isso é de acordo com o relatório de Segurança de Aplicação da Cloudflare para 2024, que cobre atividades entre maio de 2023 e março de 2024 e destaca as tendências emergentes de ameaças.
A Cloudflare, que atualmente processa em média 57 milhões de requisições HTTP por segundo, continua a testemunhar atividade intensificada de varredura para CVEs divulgados, seguidos por injeções de comando e tentativas de armamentizar PoCs disponíveis.
Durante o período examinado, as falhas mais visadas foram CVE-2023-50164 e
CVE-2022-33891
em produtos da Apache,
CVE-2023-29298
,
CVE-2023-38203
e
CVE-2023-26360
em Coldfusion, e
CVE-2023-35082
em MobileIron.
Um exemplo característico do aumento na velocidade de armamentização é o
CVE-2024-27198
, uma falha de bypass de autenticação no JetBrains TeamCity.
A Cloudflare observou um caso de um atacante implementando um exploit baseado em PoC 22 minutos após sua publicação, deixando os defensores essencialmente sem margem para oportunidade de remediação.
A firma de internet diz que a única maneira de combater essa velocidade é empregar assistência de IA para desenvolver rapidamente regras de detecção eficazes.
"A velocidade da exploração de CVEs divulgados é frequentemente mais rápida do que a velocidade com que humanos podem criar regras de WAF ou criar e implantar patches para mitigar ataques," explica a Cloudflare no relatório.
"Isso também se aplica à nossa própria equipe interna de analistas de segurança que mantém o Conjunto de Regras Gerenciadas do WAF, o que nos levou a combinar as assinaturas escritas por humanos com uma abordagem baseada em ML para alcançar o melhor equilíbrio entre baixos falsos positivos e velocidade de resposta."
A Cloudflare diz que isso é parcialmente resultado de atores específicos de ameaças especializando-se em certas categorias e produtos de CVE, desenvolvendo um entendimento profundo de como tirar vantagem rapidamente de novas divulgações de vulnerabilidade.
Outro destaque impressionante no relatório da Cloudflare é que 6.8% de todo o tráfego diário da internet é tráfego de ataque de negação de serviço distribuído (DDoS) visando tornar aplicativos e serviços online indisponíveis para usuários legítimos.
Isso é um aumento notável comparado aos 6% registrados no período de 12 meses anterior (2022-2023), mostrando um aumento no volume geral de ataques DDoS.
A Cloudflare diz que durante grandes eventos de ataque global, o tráfego malicioso pode representar até 12% de todo o tráfico HTTP.
"Focando apenas em requisições HTTP, no primeiro trimestre de 2024 a Cloudflare bloqueou em média 209 bilhões de ameaças cibernéticas por dia (+86.6% YoY) [...o que] é um aumento substancial em termos relativos comparado ao mesmo período do ano passado," diz a Cloudflare.
O relatório em PDF da empresa, disponível para Download aqui, oferece recomendações adicionais para defensores e insights mais profundos sobre as estatísticas compiladas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...