Според данни от правителствени агенции от разузнавателния алианс „Пет очи“ повечето от най-често експлоатираните уязвимости през 2023 г. първоначално са били експлоатирани като нулеви дни.

В сравнение с предходната година, когато по-малко от половината от най-експлоатираните уязвимости са били уловени в дивата природа като нулеви дни, през 2023 г. се наблюдава значително увеличение на използването на нулеви дни за компрометиране на корпоративни мрежи, се посочва в консултация, обобщаваща данните.

Данните показват, че участниците в заплахите продължават успешно да експлоатират уязвимостите в рамките на две години след публичното им разкриване. „Полезността на тези уязвимости намалява с течение на времето, тъй като все повече системи се закърпват или заменят. Злонамерените хакери намират по-малка полезност от експлоатирането на уязвимостите от типа „нулев ден“, когато международните усилия в областта на киберсигурността намаляват продължителността на живота на уязвимостите от този тип,“ казват агенциите.

Въвеждането на ориентирани към сигурността жизнени цикли на разработване на продукти, засилените стимули за отговорно разкриване на уязвимости и използването на усъвършенствани инструменти за откриване и реагиране на крайни точки (EDR) следва да спомогнат за намаляване на продължителността на живота на уязвимостите от типа „нулев ден“.

Списъкът с най-използваните уязвимости за 2023 г. се открива от CVE-2023-3519 и CVE-2023-4966 – два недостатъка с критична сериозност в инстанциите Citrix NetScaler ADC и Gateway NetScaler, които бяха поправени през юли и октомври миналата година, но всеки от тях е бил използван като нулев ден през предходните месеци.

Агенциите също така изтъкнаха CVE-2023-20198 и CVE-2023-20273, два бъга в Cisco IOS XE, закърпени през октомври 2023 г., след като бяха верижно използвани като zero-day в атаки, водещи до изпълнение на команди с привилегии на root.

Защитните стени на Fortinet също бяха рутинна мишена, като миналата година заплахите бяха хванати да използват CVE-2023-27997 като нулев ден. Проблемът с критична тежест може да бъде експлоатиран отдалечено, без удостоверяване на автентичността, за изпълнение на произволен код на уязвими FortiOS и FortiProxy инстанции.

Проследена като CVE-2023-34362, критичната уязвимост SQL инжекция в софтуера за управляемо прехвърляне на файлове (MFT) MOVEit Transfer, която беше използвана като нулев ден в хакерската кампания Cl0p, засегнала над 2770 организации и близо 96 милиона физически лица, също е сред най-често използваните недостатъци през миналата година.

Друг нулев ден, разкрит през миналата година и често използван в атаки, е CVE-2023-2868 – проблем с дистанционно инжектиране на команди в устройствата Barracuda Email Security Gateway (ESG), който е бил експлоатиран месеци преди да бъде открит, съобщиха агенциите.

Microsoft Outlook също е рутинна мишена на злонамерени атаки, а миналата година са забелязани  заплахи, използващи CVE-2023-23397 – недостатък с нулев клик, който руска APT е експлоатирала като нулев ден в продължение на цяла година, преди да бъдат пуснати кръпки.

Списъкът включва и CVE-2023-22515 – критичен дефект на неправилна оторизация в Atlassian Confluence Data Center и Confluence Server, който започна да се експлоатира по-малко от седмица след публичното му разкриване в края на октомври 2023 г.

В рамките на няколко дни след публичното разкриване заплахите започнаха да използват и CVE-2023-39143 – дефект в отдалеченото изпълнение на код в софтуера за управление на печата PaperCut NG/MF, CVE-2023-42793 – заобикаляне на удостоверяването в TeamCity CI/CD сървър, и CVE-2023-49103 – проблем с разкриването на информация в ownCloud.

По-стари дефекти в сигурността, които са били рутинно използвани през миналата година, включват CVE-2021-44228, прословутата уязвимост на Log4Shell, CVE-2022-47966, грешка в Zoho ManageEngine, и CVE-2020-1472, критичният недостатък на Windows Netlogon Remote Protocol (MS-NRPC), известен като Zerologon.

Правителствените агенции предупреждават, че 32 други уязвимости в продукти на Apple, Atlassian, Cisco, Dahua, F5, FatPipe, Fortinet, Fortra, GitLab, Ivanti, Juniper Networks, Microsoft, Netwrix, Novi, Progress Telerik, RARLAB, Sophos, Unitronics и Zoho са били често експлоатирани.

На доставчиците и разработчиците се препоръчва да идентифицират рутинно експлоатираните класове уязвимости и да прилагат смекчаващи мерки за отстраняването им, да прилагат практики за сигурност при проектирането, да конфигурират готовите за производство продукти по подразбиране с най-сигурните настройки и да включват основната причина за всеки публикуван CVE.

Организациите трябва да следват най-добрите практики за сигурност, включително прилагане на надежден процес за управление на кръпките, извършване на автоматизирано откриване на активи, редовно архивиране на системите, поддържане на актуализиран план за реакция при инциденти в областта на киберсигурността, прилагане на силни пароли и устойчива на фишинг многофакторна автентикация (MFA), както и конфигуриране на контрол на достъпа с най-малки права и архитектура на мрежата с нулево доверие.