边缘设备漏洞助长了 2024 年的攻击狂潮

快速阅读: 据《Cyber Scoop 独家新闻》称，Darktrace在其年度威胁报告中指出，客户使用的Ivanti、Fortinet和Palo Alto Networks等网络边缘设备中存在多个零日漏洞和旧漏洞，这些漏洞成为重大攻击活动的主要入口点。这些设备易受攻击，使得威胁组织能够更容易地进行攻击和横向移动。报告强调，补丁管理和关闭这些漏洞的时间减少，增加了安全管理的难度。相关信息窃取恶意软件也在激增，成为主要威胁之一。

边缘设备中隐藏的零日漏洞和旧漏洞与去年最重要的攻击活动有关，Darktrace在周三发布的一份年度威胁报告中指出。Darktrace的威胁研究人员发现，客户使用的Ivanti连接安全设备和策略安全设备以及Fortinet和Palo Alto Networks的防火墙产品中最频繁被利用的漏洞。报告显示，这些产品最终成为大多数重大攻击活动的初始访问途径。提供安全硬件和服务的供应商负责了Darktrace观察到的六个最常被利用漏洞中的四个：影响Ivanti产品的两个漏洞（CVE-2023-46805和CVE-2024-21887）；影响运行PAN-OS系统的Palo Alto Networks防火墙的三个漏洞（CVE-2024-3400、CVE-2024-0012和CVE-2024-9474）；以及一个影响Fortinet网络管理工具FortiManager的漏洞（CVE-2024-47575）。“这些设备位于你的网络边缘，是最后的可见性窗口，因此是进入你家的门，”Darktrace威胁研究副总裁纳撒尼尔·琼斯在接受CyberScoop采访时说。“如果他们能通过网络安全公司，就绕过了公司为用户设置的具体防护。你实际上是在绕过那些本应检测你的特定系统，从而以这种方式获得访问权限。”

威胁组织越来越多地投入资源研究和逆向工程广泛存在的网络边缘设备。这在Darktrace的研究中有所体现，该研究补充了网络安全和基础设施安全局已知被利用漏洞目录的内容，特别是在涉及重复违规者——即经常出现在该机构不断更新的漏洞资源列表上的供应商方面。国家级别的威胁组织最有可能发起针对网络边缘设备的零日攻击，因为他们拥有资源，但这些漏洞具有较长的生命周期，并且随着概念验证的提出，通常会被以经济利益为导向的威胁组织定期利用。琼斯表示：“你进行补丁管理和关闭这些漏洞的时间减少了，因此在短时间内管理这些特定设备中的CVE变得具有挑战性。如果你未能及时处理，或者资源有限，同时还要应对其他业务需求，那么这可能成为一个问题。”

威胁行为者还针对边缘设备，因为它们提供了更大的能力来使用寄生技术手段，并获取被篡改的凭证或创建新的凭证以获得持久访问权并在网络间实现横向移动。Darktrace研究人员在去年上半年观察到的恶意行为中，有40%涉及互联网可访问设备的利用。信息窃取恶意软件激增，并成为2024年下半年Darktrace观察到的主要恶意行为。Darktrace关于2024年活跃威胁的年度威胁情报报告基于其近10,000个客户部署收集的研究数据。

(以上内容均由Ai生成)