- 24,207
- 46
- 8 Ноя 2022
Даже бдительный админ может не знать о надвигающейся угрозе. Спасибо, CISA.
В каталоге уязвимостей CISA обнаружились малозаметные изменения, которые напрямую влияют на оценку рисков при защите инфраструктуры. Речь идёт о случаях, когда уже добавленные уязвимости задним числом получают отметку о применении в вымогательских атаках. Такие обновления не сопровождаются объявлениями и могут остаться незамеченными, хотя меняют приоритеты устранения проблем.
Гленн Торп из компании GreyNoise изучил ежедневные снимки базы Known Exploited Vulnerabilities за 2025 год и выявил 59 уязвимостей, у которых статус использования в кампаниях шифровальщиков изменился с «неизвестно» на «подтверждено». Само поле knownRansomwareCampaignUse появилось в каталоге в октябре 2023 года и должно помогать организациям точнее расставлять очерёдность установки исправлений. Однако обновление этого признака происходит без отдельных уведомлений и фиксируется только внутри JSON-файла базы.
По подсчётам GreyNoise, чаще всего скрытое обновление статуса встречалось у продуктов Microsoft — около 27% случаев. Примерно 34% таких записей относятся к сетевым и пограничным устройствам, а 39% — к уязвимостям, обнаруженным ещё до 2023 года. Минимальный срок между добавлением записи и отметкой о применении в атаках составил 1 день, максимальный — 1353 дня. Пик пришёлся на май, на него пришлось 41% всех изменений. Наиболее распространённым типом стали ошибки обхода аутентификации — около 14%.
Заметная доля обновлённых записей связана с оборудованием периметра и средствами удалённого доступа. В выборке присутствуют Fortinet SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, Ivanti Connect Secure, Palo Alto GlobalProtect и шлюзы Check Point. Также встречаются старые проблемы в Adobe Reader и других продуктах, которые спустя годы начали использоваться операторами шифровальщиков. Среди популярных техник — удалённое выполнение кода и обход проверки подлинности, что позволяет быстро получить доступ и закрепиться в системе.
В разрезе поставщиков помимо Microsoft выделяются Ivanti , Fortinet , Palo Alto Networks и Zimbra . Авторы исследования отмечают, что злоумышленники выбирают платформы с широким распространением и ценным доступом — почтовые серверы, VPN и межсетевые экраны.
Для повышения прозрачности GreyNoise запустила отдельную RSS-ленту, которая отслеживает изменения признака использования уязвимостей в вымогательских операциях и отправляет уведомления при каждом таком обновлении. По замыслу разработчиков, это должно закрыть слепую зону и помочь службам защиты быстрее пересматривать приоритеты установки исправлений.
В каталоге уязвимостей CISA обнаружились малозаметные изменения, которые напрямую влияют на оценку рисков при защите инфраструктуры. Речь идёт о случаях, когда уже добавленные уязвимости задним числом получают отметку о применении в вымогательских атаках. Такие обновления не сопровождаются объявлениями и могут остаться незамеченными, хотя меняют приоритеты устранения проблем.
Гленн Торп из компании GreyNoise изучил ежедневные снимки базы Known Exploited Vulnerabilities за 2025 год и выявил 59 уязвимостей, у которых статус использования в кампаниях шифровальщиков изменился с «неизвестно» на «подтверждено». Само поле knownRansomwareCampaignUse появилось в каталоге в октябре 2023 года и должно помогать организациям точнее расставлять очерёдность установки исправлений. Однако обновление этого признака происходит без отдельных уведомлений и фиксируется только внутри JSON-файла базы.
По подсчётам GreyNoise, чаще всего скрытое обновление статуса встречалось у продуктов Microsoft — около 27% случаев. Примерно 34% таких записей относятся к сетевым и пограничным устройствам, а 39% — к уязвимостям, обнаруженным ещё до 2023 года. Минимальный срок между добавлением записи и отметкой о применении в атаках составил 1 день, максимальный — 1353 дня. Пик пришёлся на май, на него пришлось 41% всех изменений. Наиболее распространённым типом стали ошибки обхода аутентификации — около 14%.
Заметная доля обновлённых записей связана с оборудованием периметра и средствами удалённого доступа. В выборке присутствуют Fortinet SSL <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>, Ivanti Connect Secure, Palo Alto GlobalProtect и шлюзы Check Point. Также встречаются старые проблемы в Adobe Reader и других продуктах, которые спустя годы начали использоваться операторами шифровальщиков. Среди популярных техник — удалённое выполнение кода и обход проверки подлинности, что позволяет быстро получить доступ и закрепиться в системе.
В разрезе поставщиков помимо Microsoft выделяются Ivanti , Fortinet , Palo Alto Networks и Zimbra . Авторы исследования отмечают, что злоумышленники выбирают платформы с широким распространением и ценным доступом — почтовые серверы, VPN и межсетевые экраны.
Для повышения прозрачности GreyNoise запустила отдельную RSS-ленту, которая отслеживает изменения признака использования уязвимостей в вымогательских операциях и отправляет уведомления при каждом таком обновлении. По замыслу разработчиков, это должно закрыть слепую зону и помочь службам защиты быстрее пересматривать приоритеты установки исправлений.
- Источник новости
- www.securitylab.ru
