03/03/25
Атаки начинались буквально через часы после раскрытия новых уязвимостей. При этом 40% эксплуатируемых уязвимостей существовали не менее четырех лет, а некоторые восходили еще к 1990-м годам. Группы, занимающиеся программами-вымогателями, активно использовали почти 30% уязвимостей из списка KEV (Known Exploited Vulnerabilities), отслеживаемых GreyNoise, пишут в Securitylab.
Наиболее значимые атаки 2024 года
Одной из самых активно эксплуатируемых уязвимостей 2024 года стала проблема в домашних интернет-роутерах. Она позволила создать масштабные ботнеты, используемые в кибератаках.
Среди наиболее часто атакуемых уязвимостей остаются и давно известные. Злоумышленники продолжают эксплуатировать публично раскрытые уязвимости, некоторые из которых были обнаружены еще в прошлом веке.
GreyNoise зафиксировала эксплуатацию ряда уязвимостей еще до их включения в каталог KEV Агентства по кибербезопасности и защите инфраструктуры США (CISA). Это подчеркивает важность оперативного реагирования и получения актуальной информации о киберугрозах.
28% уязвимостей из списка KEV, отслеживаемых GreyNoise, активно использовались группами, распространяющими программы-вымогатели, что делает массовую эксплуатацию уязвимостей ключевым инструментом в финансово мотивированных атаках.
В мае 2024 года было зафиксировано масштабное событие — более 12 000 уникальных IP-адресов участвовали в атаке, нацеленной на устройства на базе Android.
Самые активные атаки на уязвимости в 2024 году
Злоумышленники не ограничиваются эксплуатацией новых уязвимостей. Многие из наиболее атакуемых проблем остаются известными уже много лет, что заставляет пересмотреть традиционные подходы к управлению исправлениями.
GreyNoise зафиксировала наиболее часто используемые уязвимости:
- CVE-2018-10561 (GPON Router Worm) – 96 042 уникальных IP
- CVE-2014-8361 (Realtek Miniigd UPnP Worm) – 41 522 уникальных IP
- CVE-2016-6277 (NETGEAR Command Injection) – 40 597 уникальных IP
- CVE-2023-30891 (Tenda AC8 Router Exploit) – 29 620 уникальных IP
- CVE-2016-20016 (MVPower CCTV DVR RCE) – 17 496 уникальных IP
Эти уязвимости активно использовались на протяжении всего года в ходе кампаний по массовому сканированию интернета, для построения ботнетов и в атаках с применением программ-вымогателей.
Как отметил основатель GreyNoise Эндрю Моррис, злоумышленники все меньше заботятся о баллах CVSS или списках KEV — они просто сканируют интернет в поисках открытых целей.
