Urządzenia i usługi brzegowe coraz częściej na celowniku cyberprzestępców

W wyniku ubiegłorocznego wykorzystania przez cyberprzestępców luk w zabezpieczeniach oprogramowania MOVEit wykradziono dane nawet 100 mln osób. Coraz częściej na celowniku cyberprzestępców są urządzenia i usługi brzegowe – od początku tego roku wykryto w nich o 22 proc. więcej luk niż w 2023 r., wynika z raportu przygotowanego przez zespół WithSecure Intelligence Mass exploitation: The vulnerable edge of enterprise security. Od wykrycia podatności do jej załatania upływa średnio aż 175 dni.

Urządzenia instalowane na brzegu sieci (często w rozproszonej infrastrukturze) są na stałe połączone z internetem, a w związku z tym łatwe do namierzenia, co czyni je atrakcyjnym celem dla hakerów. Są przy tym też trudne do monitorowania przez administratorów sieci i często nie mają zainstalowanego zapewniającego monitorowanie zagrożeń oprogramowania EDR (Endpoint Detection and Response), które pozwoliłoby na wykrycie incydentu i zareagowanie.

Do przeprowadzenia cyberataku hakerom wystarczy jedna, podatna na ataki, połączona z internetem usługa brzegowa. Za realizację większości takich usług odpowiedzialne są urządzenia wchodzące w skład infrastruktury IT, takie jak firewalle czy bramki poczty elektronicznej. Rozwiązania te mają chronić firmową sieć, jednak wielokrotnie ujawniano luki w ich zabezpieczeniach, które były wykorzystywane przez przestępców jako furtka do firmowych systemów. A ponieważ świadomość występowania takich podatności jest coraz wyższa, rośnie też prawdopodobieństwo ich wykorzystania – zauważa cytowany w komunikacie Stephen Robinson, starszy analityk ds. zagrożeń w WithSecure Intelligence.

Wykorzystywanie luk w zabezpieczeniach jest jedną z podstawowych metod stosowanych przy kampaniach ransomware oraz atakach szpiegowskich. Korzystanie z podatności typu zero-day i one-day jest szczególnie popularne wśród cyberprzestępców motywowanych finansowo. Zagrożone są nie tylko firmy, ale też instytucje państwowe. W 2023 r. w wyniku wykorzystania luk w oprogramowaniu Ivanti Endpoint Manager Mobile ofiarą cyberprzestępców padło 12 norweskich instytucji państwowych. Cyberataki dotknęły też inne europejskie podmioty rządowe, gdy sponsorowani przez Rosję hakerzy wykorzystali słabości oprogramowania serwerowego poczty elektronicznej RoundCube.

Informacje o lukach w oprogramowaniu publikowane są w katalogu Known Exploited Vulnerability Catalogue (KEV), prowadzonym przez amerykańską Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Według analiz ekspertów WithSecure w 2024 r. liczba podatności w usługach brzegowych, które zostały dodane do katalogu, wzrosła aż o 22 proc. w porównaniu do 2023 r. W ubiegłym roku 14 proc. wszystkich naruszeń zaczęło się od wykorzystania luki w zabezpieczeniach, co stanowi wzrost o 180 proc. rok do roku.

Urządzenia brzegowe pełnią ważną funkcje w działalności firm, jednak często przez długi okres pozostawiane są bez aktualizacji i odpowiedniego nadzoru. Liczba podatności w usługach brzegowych będzie nadal rosnąć, podobnie jak aktywność hakerów.