O número de ataques ativos a vulnerabilidades de segurança conhecidas atingiu níveis recordes no ano passado.
O especialista em inteligência de segurança VulnCheck relatou que o ano civil de 2024 viu um total de 768 vulnerabilidades listadas no CVE serem atacadas por agentes de ameaças na natureza. Esse número é um aumento de 20% em relação a 2023 , quando 639 vulnerabilidades foram ativamente atacadas .
“2024 marcou outro ano marcante para agentes de ameaças visando a exploração de vulnerabilidades”, disse a Vulncheck em seu relatório.
“As divulgações de exploração vieram de várias fontes, incluindo empresas de produtos, fornecedores de segurança, agências governamentais, organizações sem fins lucrativos e veículos de comunicação em todo o mundo.”
Talvez mais preocupante tenha sido a descoberta de que quase um quarto desses ataques ocorreram antes da vulnerabilidade ter uma entrada CVE liberada, também conhecida como falha de “dia zero”. A VulnCheck descobriu que 23,6% dos ataques observados correspondiam a esse critério.
Além disso, descobriu-se que metade dos ataques tinham como alvo falhas dentro de 192 dias de sua publicação CVE. A partir daí, os agentes de ameaças tendem a levar seu tempo, já que 25% dos ataques observados foram para entradas CVE com mais de dois anos.
Isso sugere que uma parcela considerável de invasores prefere ir atrás de oportunidades mais fáceis, visando sistemas e aplicativos que são mal mantidos ou que foram completamente esquecidos pelos administradores e defensores da rede.
Na verdade, essa fatia do mercado parece estar aumentando, já que 2024 viu uma diminuição nos ataques de dia zero.
“Em 2024, 23,6% das [vulnerabilidades exploradas conhecidas] foram exploradas no dia ou antes do dia em que seus CVEs foram divulgados publicamente, uma ligeira diminuição em relação aos 27% de 2023”, explicou a equipe VulnCheck.
“Apesar do burburinho em torno da exploração de ‘dia zero’, essas descobertas indicam que a exploração pode acontecer a qualquer momento no ciclo de vida de uma vulnerabilidade.”
Curiosamente, o relatório descobriu que havia um padrão na maneira como os ataques de dia zero eram explorados na natureza.
“Ao analisar a exploração relatada por mês, obtemos uma melhor compreensão do volume de CVEs que provavelmente exigirão atenção imediata, pois são descobertos como explorados na natureza”, explicou VulnCheck.
“Embora a linha de base de CVEs explorados tenha variado de 30 a 50 por mês, picos notáveis foram observados durante certos períodos.”
No caso de 2024, o VulnCheck teve um pico em janeiro, quando o ShadowServer começou a compartilhar seus dados de pesquisa sobre KEVs, introduzindo uma série de falhas que antes passavam despercebidas.
Outro pico ocorreu em abril e maio, quando apresentações da conferência de segurança da RSA revelaram atores de ameaças adicionais. Outros saltos em divulgações ocorreram em julho, quando a F5 e a CISA divulgaram relatórios sobre novos ataques, e em setembro, quando o botnet FlexTyphoon atacou.
Em resumo, os relatórios de exploração tendem a vir em grupos e ocorrem em grande parte em clusters em torno de grandes violações de segurança ou eventos significativos do setor. Isso deve levar os administradores e defensores de rede a ficarem de olho nas notícias e certificarem-se de atualizar seus sistemas e políticas de segurança quando um grande evento ocorrer.
Fonte: SC World. Record Number of Exploited Security Vulnerabilities Reached in 2024. Disponível em: https://www.scworld.com/news/record-number-of-exploited-security-vulnerabilities-reached-in-2024. Acesso em: 04 fev. 2025.
