グーグル・マンディアントのセキュリティ・アナリストは、脅威行為者がソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を高めていることを示す、憂慮すべき新たな傾向について警告している。
具体的には、2023年にアクティブに悪用されたと公表された138件の脆弱性のうち、97件(70.3%)がゼロデイとして活用されたとMandiantは述べています。
これは、影響を受けたベンダーがバグの存在を知る前、あるいはパッチを当てることができるようになる前に、脅威者が攻撃で欠陥を悪用したことを意味する。
2020年から2022年まで、n-days(修正された欠陥)とゼロデイ(修正プログラムがない)の比率は4:6で比較的安定していたが、2023年には3:7にシフトした。
グーグルはこれについて、悪用されるn-dayの数が減少したためではなく、むしろゼロデイ悪用の増加と、それを検知するセキュリティベンダーの能力が向上したためだと説明している。
このような悪意のある活動の増加と標的となる製品の多様化は、積極的に悪用された欠陥によって影響を受けたベンダーの数にも反映されており、2023年には過去最高の56社に増加し、2022年の44社を上回り、これまでの最高記録であった2021年の48社を上回っています。
厳しさを増すレスポンスタイム
新たに公開された(n-dayまたは0-day)欠陥を悪用するのにかかる時間(TTE)に関して、もう1つの重要な傾向が記録された。
ちなみに、2018-2019年のTTEは63日、2021-2022年のTTEは32日だった。このため、システム管理者はパッチの適用を計画したり、影響を受けたシステムを保護するための緩和策を実施したりするのに十分な時間があった。
しかし、TTEが5日に短縮された今、ネットワークのセグメンテーション、リアルタイム検知、緊急パッチの優先順位付けといった戦略がより重要になる。
関連して、Googleはエクスプロイトの公開とTTEに相関関係はないと見ている。
2023年、エクスプロイトの75%は自然界での悪用が始まる前に公開され、25%はハッカーがすでに欠陥を利用していた後に公開された。
レポートでは、エクスプロイトの公開と悪意のある活動との間に一貫した関係がないことを示す2つの例として、CVE-2023-28121(WordPressプラグイン)とCVE-2023-27997(Fortinet FortiOS)を取り上げています。
.jpg)
ソースはこちら:グーグル
最初のケースでは、公開から3カ月後、概念実証が公開されてから10日後に悪用が開始されました。
FortiOSの場合、欠陥は公開されたエクスプロイトでほぼ即座に武器化されましたが、最初の悪意のある悪用イベントは4カ月後に記録されました。
悪用の難易度、脅威行為者の動機、標的の価値、全体的な攻撃の複雑性はすべて TTE に関与しており、PoC の可用性との直接的または単独の相関関係には欠陥があると Google は指摘しています。
Comments