Stigning i udnyttede sårbarheder i 2024
I 2024 blev 768 CVE'er offentligt rapporteret som værende udnyttet in-the-wild, hvilket repræsenterer en stigning på 20 pct. i forhold til de 639 CVE'er, som blev rapporteret udnyttet i 2023. De 768 CVE’er svarer til, at 1 pct. af de offentliggjorte CVE'er i 2024 blev rapporteret som udnyttet. Tallet ventes dog at stige, fremgår det, da udnyttelse ofte opdages længe efter offentliggørelsen.
Det skriver The Hacker News på baggrund af en rapport fra VulnCheck, der har dykket ned i kataloget over kendte, udnyttede sårbarheder og trukket de vigtigste tal ud.
Tidspunkt for udnyttelse
En anden interessant iagttagelse er, at 23,6 pct. af de kendte udnyttede sårbarheder (KEV'er) blev set udnyttet på eller før den dag, hvor deres CVE-nummer blev offentliggjort. Det er ganske vist et lille fald fra 27 pct. i 2023, men det indikerer, at udnyttelse kan finde sted på ethvert tidspunkt i en sårbarheds livscyklus. Altså både før, under og efter offentliggørelse.
Før, fordi ondsindede aktører får udviklet exploit-kode og solgt det til udnyttelse, inden en vendor overhovedet har kendskab til sårbarheden og får udsendt en rettelse. Under, fordi aktører straks efter en offentliggørelse af CVE’en hurtigt får solgt og/eller udnyttet den, mens rettelsen udsendes. Efter, fordi mange brugere af de sårbare løsninger af forskellige årsager ikke får implementeret rettelsen.
Hvem har offentliggjort udnyttelserne?
Af de 768 CVE'er, der først blev rapporteret som udnyttet i 2024, leverede 112 unikke kilder den første dokumentation. Disse kilder omfattede sikkerhedsfirmaer som CheckPoint, Aqua Security, Fortinet og F5, samt offentlige myndigheder som DOD (Department of Defense, CISA og NHS (det britiske sundhedssystem, National Health Service, som også beskæftiger sig med cybersikkerhed for at beskytte sundhedsdata og hospitalsnetværk mod cyberangreb) og non-profit organisationer som ShadowServer Foundation. Med den ”første dokumentation” menes den første offentligt tilgængelige bekræftelse på, at en sårbarhed faktisk er blevet udnyttet i praksis. Offentliggørelsen kan ske i rapporter, blogindlæg, advisories eller sikkerhedsbulletiner fra researchgrupper, virksomheder eller myndigheder, der bekræfter, at en given sårbarhed er blevet udnyttet af hackere.
Disse rapporter kan f.eks. være baseret på trusselsanalyser, data fra honeypots eller oplysninger fra ofre for cyberangreb.
Desuden offentliggjorde virksomheder som Microsoft, Google, Apple og Cisco ofte udnyttelse af deres egne produkter samt tredjeparts sårbarheder.
The Hacker News afslutter sin artikel med at understrege vigtigheden af, at organisationer proaktivt overvåger og håndterer sårbarheder.