Аналитики Google Mandiant предупреждают о новом тревожном явлении: злоумышленники стали намного успешнее находить и использовать уязвимости нулевого дня в программном обеспечении.
Согласно данным Mandiant, в 2023 году из 138 уязвимостей, активно используемых хакерами, 97 (70,3%) были уязвимостями нулевого дня. Время реакции на такие угрозы также сократилось. Например, время, необходимое для эксплуатации недавно обнаруженной уязвимости (n-day или 0-day), в среднем снизилось до пяти дней. Для сравнения, в 2018-2019 годах этот показатель составлял 63 дня, а в 2021-2022 годах — 32 дня. Это значительное сокращение оставляет системным администраторам меньше времени для устранения уязвимостей или внедрения защитных мер.
В новых условиях стратегии, такие как сегментация сети, оперативное обнаружение угроз и быстрый приоритет исправлений, становятся особенно важными. Примечательно, что Google не выявляет прямую зависимость между раскрытием эксплойтов и временем, необходимым для их эксплуатации (TTE).
В 2023 году 75% эксплойтов были опубликованы до того, как началась их активная эксплуатация, и только 25% стали известны после того, как хакеры уже начали их использовать. Примером служат уязвимости CVE-2023-28121 (плагин WordPress) и CVE-2023-27997 (Fortinet FortiOS). В первом случае эксплойт начали использовать через три месяца после раскрытия уязвимости, а во втором — хотя публичные эксплойты появились практически сразу, первый случай злоумышленной эксплуатации был зафиксирован только спустя четыре месяца.
Google отмечает, что такие факторы, как сложность эксплуатации, мотивация хакеров и ценность цели, существенно влияют на время, необходимое для эксплуатации уязвимостей, и нет прямой зависимости от доступности доказательства концепции (PoC).
Кроме того, с 2020 по 2022 год соотношение между исправленными (n-day) и нулевыми (0-day) уязвимостями оставалось стабильным на уровне 4:6. Однако в 2023 году это соотношение изменилось до 3:7. Это объясняется не уменьшением числа эксплуатируемых исправленных уязвимостей, а увеличением числа атак на уязвимости нулевого дня и улучшением методов их обнаружения.
Также в 2023 году наблюдается рост числа поставщиков, затронутых активно используемыми уязвимостями. Этот показатель достиг рекордных 56 поставщиков, что больше, чем в 2022 году (44) и 2021 году (48).
Более 200 вредоносных приложений обнаружено в Google Play за последний год
