多くのハッカーは機会主義的であり、脆弱性が公開される数日前からセキュリティの隙間を突いて攻撃を試みることがよくあります。
7月31日にGreyNoiseが発表した新しいレポートによると、攻撃者の活動は新たなエッジデバイスの脆弱性が公に公開され、共通脆弱性識別子(CVE)番号が付与される前に発生しているケースが80%に上ることが分かりました。
これらの公開前の活動の急増には、スキャン、ブルートフォース、悪用の試みが含まれますが、ゼロデイ攻撃の試みが観測された活動の大半を占めています。このような活動は、CVEの公開より最大6週間前から発生している場合があるとGreyNoiseの研究者は指摘しています。
この分析は、共通脆弱性評価システム(CVSS)スコアが6以上のエッジ技術に関するCVEを対象に実施されました。
この傾向は特に、8つのエッジデバイスベンダーに影響する脆弱性で顕著でした。対象ベンダーはCisco、Citrix、Fortinet、Ivanti、Juniper、MikroTik、Palo Alto Networks、SonicWallです。
合計で、GreyNoiseの研究者はこれら8社のCVE公開前に活動の急増が216件あったことを確認しました。
攻撃者活動の急増を将来の侵入への早期警告として活用
レポートによると、サイバー防御担当者はこれらの活動の急増を早期警告として捉え、今後のCVEに備えるために監視を強化すべきだとしています。
「攻撃者活動の急増から6週間以内に新たなCVEが集中して発生することは、防御側が監視を強化し、システムを堅牢化し、脆弱性が判明する前に先手を打つための具体的なタイムフレームを提供します。CISOはこの期間を早期の計画や投資の根拠として活用できます」とレポートは述べています。
GreyNoiseの研究者は、CISOがスキャンやブルートフォースを行うエッジ技術関連のIPアドレスをブロックし、たとえ攻撃の後続フェーズで異なるIPが使われたとしても、攻撃リストに含まれるのを防ぐことを推奨しています。
「Typhoonsのような国家支援グループは、事前配置、監視、アクセスの持続のために、企業向けエッジデバイスに焦点を当てていると報告されています」と研究者は強調しています。
翻訳元: https://www.infosecurity-magazine.com/news/hackers-exploit-vulnerabilities/