Palo Alto Networks araştırmacılarına göre, saldırganlar hangi yazılım güvenlik açıklarını hedef alacaklarına bakarken favorileri oynuyor.
Ünite 42 tarafından 2022’de analiz edilen olayların yaklaşık üçte biri veya %31’i “Olay Müdahale Raporu” saldırganların bir yazılım güvenlik açığından yararlanarak kurumsal ortama erişim kazanmasından kaynaklandı. Altı CVE kategorisi, istismar edilen güvenlik açıklarının %87’sinden fazlasını oluşturuyordu: ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) , Log4j, ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), SonicWall ve Fortinet ürünlerinde birden çok güvenlik açığı ve Zoho ManageEngine ADSelfService Plus’ta (CVE-2021) bir güvenlik açığı -40539).
Unit 42’nin güvenlik açığını tespit edebildiği olayların %55’inde saldırganlar ProxyShell’i hedef almıştı. Bu vakaların sadece %14’ü Log4j’yi içeriyordu. 42. Ünite araştırmacıları, rapor için Nisan 2021 ile Mayıs 2022 arasında 600’den fazla olay müdahale angajmanından alınan verileri analiz etti.
Saldırganlar daha eski, yama uygulanmamış güvenlik açıklarına güvenmeye devam ederken, birçoğu yeni güvenlik açıklarına da bakıyor. Güvenlik açıklarını taramak zor bir iş değildir, bu nedenle saldırganlar yeni açıklanan güvenlik açığına sahip sistemleri öğrenir öğrenmez taramaya başlar.
” 2021 Saldırı Yüzeyi Yönetimi Tehdit Raporu [released in April] saldırganların genellikle bir CVE duyurulduktan sonra 15 dakika içinde güvenlik açıklarını taramaya başladığını tespit etti.” Blog yazısı olay müdahale raporuna eşlik eder. “Aslında, güvenlik açıklarının kendilerinin ve bunlardan yararlanarak elde edilebilecek erişimin yeterince önemli olup olmadığının ortaya çıkmasıyla pratik olarak çakışabilir.”
Örnek olarak, araştırmacılar, F5 BIG-IP cihazlarında (CVE-2022-1388) kimlik doğrulama atlama güvenlik açığını hedefleyen tarama ve yararlanma girişimlerini 10 saat içinde 2.552 kez tespit etti.
Unit 42 analizine göre, yazılım açıklarından yararlanmak ikinci en yaygın saldırı yöntemiydi. En üst erişim vektörü kimlik avıydı. Temel olarak Uzak Masaüstü Protokolünü hedefleyen kaba kuvvet kimlik bilgisi saldırıları ilk üçü tamamladı. Bu üç saldırı vektörü, olay müdahale raporunda analiz edilen olayların dörtte üçünden fazlasını (%77) oluşturuyordu.