فعالیت مخرب در ۸۰ درصد موارد پیش از کشف آسیبپذیری رخ میدهد
پژوهشگران دریافتند که در حدود ۸۰٪ موارد، افزایش ناگهانی فعالیتهای مخرب مانند network reconnaissance، targeted scanning و تلاشهای brute-forcing که دستگاههای edge networking را هدف قرار میدهند، پیشدرآمدی برای افشای آسیبپذیریهای امنیتی جدید (CVEs) ظرف شش هفته بعد است.
این موضوع توسط شرکت GreyNoise، فعال در حوزه پایش تهدیدات، کشف شده است. این شرکت اعلام کرده این رویدادها تصادفی نیستند، بلکه الگوهایی قابل تکرار و از نظر آماری معنادار دارند.
GreyNoise این تحلیل را بر اساس دادههای Global Observation Grid (GOG) خود از سپتامبر ۲۰۲۴ انجام داده و برای جلوگیری از سوگیری آماری، آستانههای آماری مشخصی را برای غربالگری دادهها اعمال کرده است.
پس از حذف دادههای پرسروصدا، مبهم و کمکیفیت، ۲۱۶ رویداد بهعنوان spike events واجد شرایط شناسایی شدند که به هشت فروشنده تجهیزات enterprise edge مرتبط بودند.
پژوهشگران توضیح دادند: «در میان ۲۱۶ رویداد بررسیشده، در ۵۰ درصد موارد ظرف سه هفته و در ۸۰ درصد موارد ظرف شش هفته، یک CVE جدید افشا شد.»
این همبستگی برای محصولات Ivanti، SonicWall، Palo Alto Networks و Fortinet قویتر بود و برای MikroTik، Citrix و Cisco ضعیفتر گزارش شد. عاملان تهدید تحت حمایت دولتها بارها این سیستمها را برای دسترسی اولیه و حفظ حضور مخرب هدف قرار دادهاند.
GreyNoise اعلام کرده است که در اغلب مواردی که این spikeهای فعالیت مخرب رخ میدهد، مهاجمان تلاش میکنند آسیبپذیریهای قدیمی و شناختهشده را اکسپلویت کنند.
پژوهشگران معتقدند این روند یا باعث کشف ضعفهای جدید میشود یا به شناسایی endpoints در معرض اینترنت کمک میکند که در مرحله بعدی حمله، با بهرهگیری از novel exploits هدف قرار میگیرند.
بهطور سنتی، مدافعان پس از انتشار یک CVE واکنش نشان میدهند، اما یافتههای GreyNoise نشان میدهد که رفتار مهاجمان میتواند یک شاخص پیشنگر باشد و بهعنوان ابزاری برای سازماندهی دفاع پیشگیرانه عمل کند.
این pre-disclosure spikes به مدافعان یک بازه زمانی میدهد تا آماده شوند، پایش را تقویت کنند و سامانهها را در برابر حملات احتمالی مقاوم کنند، حتی اگر بهروزرسانی امنیتی منتشر نشده باشد و هنوز مشخص نباشد کدام مؤلفه یا عملکرد سیستم هدف قرار گرفته است.
GreyNoise توصیه میکند که فعالیتهای scanning بهدقت رصد شود و origin IPs بلافاصله مسدود شوند تا مهاجمان از دسترسی به اطلاعات reconnaissance که معمولاً منجر به حملات واقعی میشود، محروم شوند.
پژوهشگران تأکید کردند که اسکن برای آسیبپذیریهای قدیمی در چنین مواردی طبیعی است؛ زیرا مهاجمان در تلاشاند داراییهای در معرض را شناسایی کنند. بنابراین، این اسکنها نباید بهعنوان تلاشهای ناموفق برای نفوذ به endpoints کاملاً وصلهشده نادیده گرفته شوند.
در تحولی مرتبط، Project Zero گوگل اعلام کرده است که از این پس ظرف یک هفته پس از کشف، اطلاعات اولیه درباره آسیبپذیریهای شناساییشده را بهصورت عمومی منتشر خواهد کرد. این اقدام به مدیران سیستم کمک میکند تا در حالی که فروشندگان در حال آمادهسازی وصله هستند، دفاعهای خود را تقویت کنند.
بر اساس سیاست جدید، Project Zero نام فروشنده/پروژه و محصول آسیبپذیر، زمان کشف و مهلت افشای نهایی (که همچنان ۹۰ روز باقی خواهد ماند) را اعلام خواهد کرد.
گوگل تأکید کرده است که بهدلیل عدم ارائه جزئیات فنی، proof-of-concept exploit یا هرگونه اطلاعاتی که ممکن است به مهاجمان کمک کند، این تغییر تأثیر منفی بر امنیت نخواهد داشت و در عوض به کاهش مشکل موسوم به patch gap کمک میکند.