WithSecure Intelligencen tutkimus: Edge-palveluiden haavoittuvuuksien massahyväksikäyttäminen on nyt hyökkääjien trendi

WithSecure Intelligence tutkii uudessa raportissaan edge-palvelujen ja -infrastruktuurin hyödyntämistä tietoturvahyökkäyksissä ja kertoo, miksi hyökkääjät ovat keskittyneet niihin niin voimakkaasti – ja menestyksekkäästi.

Helsinki – 12.6.2024: Vuosien 2023 ja 2024 kyberuhkamaisemaa on hallinnut haavoittuvuuksien massahyväksikäyttäminen. Aiemmassa WithSecuren raportissa kyberrikollisuuden ammattimaistumisesta jo todettiin suuntauksen kasvu, mutta nyt sen yleisyys ja vakavuus ovat todella räjähtäneet.

Vuonna 2024 tunnettujen hyödynnettyjen haavoittuvuuksien luetteloon (Known Exploited Vulnerability Catalogue, KEV) kuukausittain lisättyjen edge-palveluiden ja -infrastruktuurien yleisten haavoittuvuuksien (Common Vulnerabilities and Exposures, CVE) määrä on 22 % suurempi kuin vuonna 2023, kun taas muiden luetteloon kuukausittain lisättyjen haavoittuvuuksien määrä on pudonnut 56 % vuoteen 2023 verrattuna. Lisäksi kahden viime vuoden aikana lisätyt edge-palveluiden ja -infrastruktuurin haavoittuvuudet ovat keskimäärin 11 % vakavampia kuin muut.

Useat viimeaikaiset raportit osoittavat, että haavoittuvuuksien massahyväksikäyttäminen olisi ohittanut bottiverkot kiristyshaittaohjelmahyökkäysten ensisijaisena keinona. Haavoittuvien ohjelmistojen, kuten MOVEit, CitrixBleed, Cisco XE, Fortiguardin FortiOS, Ivanti ConnectSecure, Palo Alton PAN-OS, Juniperin Junos ja ConnectWise ScreenConnect, hyväksikäyttämisen aiheuttamia tietoturvahäiriöitä on ollut tiuhalla tahdilla.

Verkon reunalla sijaitsevat edge-palvelut ovat erittäin houkuttelevia kohteita hyökkääjille, sillä ne ovat yhteydessä internetiin ja niiden tarkoituksena on tarjota kriittisiä palveluja etäkäyttäjille.

"Massahyväksikäyttämiseen vaaditaan vain yksi asia, ja se on haavoittuva edge-palvelu – ohjelmisto, johon pääsee internetistä", sanoo Stephen Robinson, Senior Threat Analyst, WithSecure Intelligence. "Monille hyökkäyksissä hyödynnetyille palveluille on yhteistä se, että ne ovat osa infrastruktuuria, kuten palomuureja, VPN- tai sähköpostiyhdyskäytäviä, jotka ovat yleensä lukittuja mustan laatikon kaltaisia laitteita. Näillä laitteilla on usein tarkoitus tehdä verkosta turvallisempi, mutta kerta toisensa jälkeen niistä on löydetty haavoittuvuuksia, joita hyökkääjät ovat hyödyntäneet saadakseen jalansijan kohdeverkossa.”

Tutkimuksen mukaan haavoittuvuuksien massahyödyntäminen on kiristyshaittaohjelmia käyttävien ja valtiollisten hyökkääjien uusi ensisijainen hyökkäyskeino. Lisäksi taidot ja asiantuntemus, joita tarvitaan nollapäivähaavoittuvuuksien hyödyntämiseen, ovat taloudellisesti motivoituneiden kyberrikollisten saavutettavissa paremmin kuin koskaan aiemmin.

"On todennäköistä, että haavoittuvuuksien massahyväksikäyttämisestä on tulossa ensisijainen hyökkäystapa joko siksi, että haavoittuvia edge-palveluita on niin paljon, tai siksi, että hyökkääjät ja puolustajat ovat nyt tietoisempia haavoittuvista edge-palveluista massahyväksikäyttämisen yleistymisen vuoksi", Robinson päättää.

Lue koko raportti täältä: https://labs.withsecure.com/publications/mass-exploitation-the-vulnerable-edge-of-enterprise-security

Median yhteyshenkilö
Inari Anttila
+358438240090