脆弱性の開示から悪用までの時間は、脅威アクターがいわゆる「n-day」を武器化することにより、過去5年間で94%急減したとFlashpointの新しい調査で明らかになった。
この脅威インテリジェンスベンダーは、「脆弱性悪用までの時間」(TTE)が2020年の745日から昨年はわずか44日に低下し、セキュリティおよびITチームがパッチを適用する時間が劇的に短縮されたと主張している。
この傾向を推進しているのは、n-day exploitの使用増加である。これは公に開示されたが組織によってパッチが適用されていない脆弱性に関連するものだ。
Flashpointは、n-dayが現在、同社の既知の悪用された脆弱性(KEV)データベースVulnDBにリストされているCVEの80%以上を占めていると主張している。
脆弱性悪用に関する詳細はこちら:マイクロソフトが2月のパッチ火曜日で6つのゼロデイ脆弱性を修正。
ゼロデイ脆弱性とエクスプロイトはより多くの見出しを飾るものの、n-dayは研究に必要な時間、労力、費用がはるかに少ないため、脅威アクターにとってより理にかなっている。
「攻撃者は、研究者が公開した概念実証(PoC)コードの迅速な武器化を通じて大きな優位性を獲得している。完全に機能するエクスプロイトが脆弱性の開示と同時にリリースされると、それは攻撃者にとって『ターンキー』ソリューションになる」とレポートは指摘している。
「これらの既製のエクスプロイトをShodanやFOFAのようなインターネット全体のスキャンツールと組み合わせることで、洗練されていない脅威アクターでさえ、数時間でインターネットの広範なセグメントにわたって大量悪用を実行できる。」
セキュリティおよび境界ソフトウェアは、n-day攻撃の標的として増加しているとFlashpointは警告している。同社は、2025年にこれらのツールを標的とした52件のゼロデイ攻撃と37件のn-day攻撃を観測したと述べている。
今週、国家主体と思われるアクターがIvanti Endpoint Manager Mobile(EPMM)の2つの重大なゼロデイバグを悪用して複数の政府機関を侵害したことが明らかになった。
可視性の問題がセキュリティの課題を悪化
この点でセキュリティチームが直面する課題は、可視性に関連する2つの問題によって悪化しているとFlashpointは主張している。
1つ目は資産の可視性である。Flashpointは、「ほとんど」の大規模組織が総資産の4分の1以上をインベントリに登録していない可能性があると主張している。
2つ目は、ほとんどのセキュリティツールがCVEに依存しているという事実から生じる「CVEブラインドスポット」と呼ばれるものである。
「しかし、毎年何千もの脆弱性が開示されているが、公式のCVE IDを受け取ることはない」とレポートは付け加えている。「これらの『欠落した』脆弱性は、標準スキャナーにとって大規模なブラインドスポットを表している。」
国家脆弱性データベース(NVD)の長期にわたるリソース問題が問題を悪化させ、CVEの処理に遅延が生じている。
翻訳元: https://www.infosecurity-magazine.com/news/time-exploit-plummets-nday-flaws/
