技術ベンダーが新しいソフトウェア脆弱性を公開する数週間前に、ハッカーがその欠陥を発見し、顧客が問題に気付く前から悪用を始めることがあります。
インターネットインテリジェンス企業GreyNoiseが月曜日に発表したレポートによると、2025年12月中旬から2026年3月下旬にかけて追跡したスキャンと悪用活動の急増の約半数が、その後3週間以内に対象ベンダーからの脆弱性公開に続きました。
レポートによると、活動の急増の約3分の2は6週間以内に脆弱性の公開につながりました。
「特定のベンダーをターゲットとするスキャンと悪用活動は、それらのベンダーが新しいCVEを公開する前に一貫して増加しました」とGreyNoiseは述べています。
Ciscoの深刻な脆弱性の悪用が急増しました。これはサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)からの稀な緊急指令をトリガーしたもので、レポートによるとCiscoが欠陥を公開する39日前と早い時期でした。同様に、重大なVMware脆弱性は公開36日前に悪用され、大きなMikroTik脆弱性は公開24日前に悪用されました。GreyNoiseはまた、Juniper、SonicWall、Ivantiからの他の高度な重大度を持つ欠陥の同様の早期の悪用も発見しました。
Ciscoの欠陥の場合、GreyNoiseは公開に先立つ最後の18日間で5つの悪用急増を目撃しており、セッション数が増加する一方でIP アドレス数は急落しました。この現象は「広い偵察から専用オペレータが特定のターゲットを攻撃することへのシフトと一致している」とGreyNoiseは述べています。
データから1つの潜在的な明るい側面が浮かび上がりました。「最も高度な重大度の脅威は、実質的なプローブ活動と意味のあるリード時間を生成する傾向がある」とレポートは述べています。
GreyNoiseは、103日間にわたって18のエッジデバイスおよびネットワークインフラストラクチャベンダーからのプロダクトに対するスキャン、ブルートフォースログイン試行、リモートコード実行プローブ、およびその他の攻撃を分析することでデータを収集しました。セキュリティ企業は、活動のボリューム(ユニークセッションの観点から)と範囲(ユニークIPアドレスの観点から)の両方を評価しました。特定のプロダクトをターゲットとする平均以上の活動の各複数日間のピリオドが「スパイクイベント」を構成しました。
早期警告
悪用の急増と脆弱性公開の間の中央値は11日でした。GreyNoiseはこれが急増について知った企業にとって重要な「頭スタート」となる可能性があると指摘しました。(GreyNoiseはこのような活動に関する情報を含む脅威インテリジェンスを販売しています。)「11日は、世界の残りが脆弱性の存在を知る前に、リーダーシップに説明し、パッチをステージング化し、公開されたシステムを強化するのに十分な時間です」と同社は述べています。
すべての活動が等しく予測的ではない
GreyNoiseのレポートは、各急増で観察した活動のタイプと、ターゲットベンダーが後に脆弱性を公開した頻度を分類しています。同社は42件のスキャンインスタンスを目撃し、そのうち57%が脆弱性公開につながりました。18件のブルートフォース試行は56%が公開につながり、12件のリモートコード実行試行は42%が公開につながりました。
技術は異なるリード時間に関連していました。スキャンは通常、ブルートフォースおよびリモートコード実行試行よりも脆弱性公開からさらに後ろで発生しており、GreyNoiseはこれが「攻撃者がすでにターゲットを特定していて、侵入しようとしている後期段階の活動と一致している」と指摘しました。
スキャンはまた、IPアドレス全体に広く分散される傾向が高く、各アドレスはわずかなセッション数のみを担当していました。一方、後期段階の活動はより集中していて、少数のIPアドレスが各々多数のセッションを記録していました。
翻訳元: https://www.cybersecuritydive.com/news/vulnerability-disclosure-surges-warnings-greynoise/817952/
