A busca de vulnerabilidades na internet começa 15 minutos depois que um CVE é publicado, revela o Relatório de Ameaças de Gerenciamento de Superfície de Ataque de 2022 da Palo Alto Networks. Além disso, os sistemas de final de vida (EoL) permanecem inalteráveis e disponíveis para exploração por um invasor oportunista. O mesmo relatório informa que quase 32% das organizações expostas estão executando a versão EoL do Apache Web Server, vulnerável para execução remota de código com as vulnerabilidades CVE-2021-41773 e CVE2021-42013, diz Dan O’Day, diretor consultivo da Unit 42, a unidade de pesquisa de ameaças da Palo Alto.
Veja isso
CISA se torna autoridade raiz na atribuição de identificadores CVE
Falta de visibilidade centralizada põe em risco atividades de OT
A principal previsão dos analistas da Palo Alto é que o tempo para corrigir vulnerabilidades graves continuará a diminuir: “Os invasores estão fazendo uso crescente de zero days de perfil elevado — do tipo sobre o qual você lê nas notícias”, diz O’Day. “Para obter evidências, consulte nossas estatísticas anteriores sobre o uso de vulnerabilidades do Apache Log4j pelos invasores, por exemplo, e vulnerabilidades divulgadas no Zoho ManageEngine ADSelfService Plus.”
Sempre que uma nova vulnerabilidade é divulgada, diz ele, a equipe de inteligência de ameaças observa uma varredura generalizada de sistemas vulneráveis: “Nossos consultores de segurança dizem que também estão vendo atores de ameaças – desde os sofisticados aos script kiddies – movendo-se rapidamente para aproveitar os PoCs [provas de conceito] disponíveis publicamente para tentar explorações. Embora alguns agentes de ameaças continuem confiando em vulnerabilidades mais antigas e não corrigidas, estamos vendo cada vez mais que o tempo entre a vulnerabilidade e a exploração está diminuindo. De fato, pode praticamente coincidir com a revelação se as próprias vulnerabilidades e o acesso que pode ser obtido ao explorá-las forem significativos o suficiente. Por exemplo, a Palo Alto Networks lançou uma assinatura de prevenção contra ameaças para a vulnerabilidade de desvio de autenticação F5 BIG-IP (CVE-2022-1388) e, em apenas 10 horas, a assinatura foi acionada 2.552 vezes devido à verificação de vulnerabilidades e tentativas de exploração ativas”.
O levantamento foi feito pela análise de aproximadamente 600 casos de resposta a incidentes da Unit 42 concluídos entre maio de 2021 e abril de 2022.