边缘设备漏洞引发 2024 年攻击狂潮

Darktrace 在周三发布的年度威胁报告中指出，存在 0day和 nday漏洞的边缘设备与去年最严重的攻击活动有关。

Darktrace 的威胁研究人员在客户的 Ivanti Connect Secure 和 Ivanti Policy Secure 设备实例以及 Fortinet 和 Palo Alto Networks 的防火墙产品中发现了最常见的漏洞利用。

报告显示，网络安全供应商提供的产品最终占据了去年大多数最严重攻击活动的首位，并成为其初始访问载体。

Darktrace 发现，在六个最常被利用的漏洞中，有四个是由提供安全硬件和服务的供应商造成的：两个影响 Ivanti 产品的漏洞（CVE-2023-46805和CVE-2024-21887）；三个影响运行 PAN-OS 的 Palo Alto Networks 防火墙的漏洞（CVE-2024-3400、CVE-2024-0012和CVE-2024-9474）；一个影响 Fortinet 网络管理工具 FortiManager 的漏洞（CVE-2024-47575）。

Darktrace 威胁研究副总裁 Nathaniel Jones 向 CyberScoop 表示：“这些设备位于网络边缘，是您最后的可见视野，因此也是您家的门。”

“如果他们能绕过网络安全公司，那么他们就绕过了公司向客户提供的确切检测，”琼斯说。“你相当于深入到应该检测你的具体事物的底层，然后通过这种方式获得访问权限。”

威胁团体正投入越来越多的资源来研究和逆向工程广泛存在的网络边缘设备。Darktrace 的研究也体现了这一点，该研究补充了网络安全和基础设施安全局的已知被利用漏洞目录，特别是与屡犯者有关——这些供应商通常出现在该机构不断更新的威胁团体在野外利用的漏洞资源中。

琼斯表示，民族国家威胁团体最有可能对网络边缘设备的零日攻击负责，因为他们拥有资源，但这些漏洞的保质期很长，而且随着POC的出现，经常会成为以经济为动机的威胁团体的目标。

“你用于补丁管理和关闭的时间减少了，因此在很短的时间内管理这些特定设备中的 CVE 非常具有挑战性，”Jones 说。“如果你不这样做，或者你的资源非常不足，而你还有其他事情要做来支持业务，那么这可能会成为一个问题。”

威胁行为者还将边缘设备作为目标，因为它们提供了更强大的能力来使用离地攻击技术并获取受损凭证或创建另一个凭证以获得持续访问权限并实现跨网络的横向移动。

Darktrace 研究人员在去年上半年观察到的恶意活动中，有 40% 涉及利用面向互联网的设备。信息窃取恶意软件激增，成为 Darktrace 在 2024 年下半年观察到的最突出的活动。

Darktrace 关于 2024 年活跃威胁的年度威胁情报报告基于其对近 10,000 个客户部署进行的研究。