Kan ondsindet aktivitet være indikator for kommende sårbarheder?

Eskil Sørensen

08.05.2025 15:15

Stigning i scanningsaktivitet mv. kan være et forvarsel.

Et nyt studie fra GreyNoise afslører, at i 80 pct. af tilfældene, hvor der observeres en markant stigning i ondsindet netværksaktivitet – såsom målrettet scanning, brute-force forsøg og rekognoscering – følger der offentliggørelse af nye sårbarheder (CVE’er) inden for seks uger.

Det skriver Bleeping Computer i en interessant artikel, der ud fra studiet giver håb om, at kan blive færre udnyttelser af publicerede sårbarheder i fremtiden.

Sammenhængen skal ikke være tilfældig, fremgår det. Således har GreyNoise analyseret data fra deres globale observationsnetværk siden september 2024 og identificeret 216 såkaldte "spike events", der alle er knyttet til edge-enheder fra otte større leverandører. Halvdelen af disse events blev efterfulgt af en ny CVE inden for tre uger, og 80 pct. inden for seks.

Edge-enheder som indikatorer

Særligt Ivanti, SonicWall, Palo Alto Networks og Fortinet udviser en stærk sammenhæng mellem aktivitetsspikes og efterfølgende CVE’er. MikroTik, Citrix og Cisco viser en svagere sammenhæng, hedder det.

Interessant nok er det ikke nødvendigvis nye sårbarheder, der udnyttes under disse spikes. Ofte er det kendte, ældre CVE’er, der angribes – hvilket ifølge researcherne kan være en metode til at kortlægge eksponerede endpoints og forberede angreb med nye exploits.

Proaktivt forsvar

Den traditionelle tilgang er som bekendt, at forsvarere først reagerer, når en ny sårbarhed offentliggøres med et nyt identifikationsnummer som vi kender det fra den europæiske sårbarhedsdatabase (EUVD-2025-xxxxx) og amerikanske ditto (CVE-2025-xxxxx). Det er disse id'er, som vi også i DKCERT formidler ud til via mails til vores samarbejdsparternere og her på cert.dk. Med sine observationer foreslår GreyNoise, at man introducerer en ændring i denne tilgang: Ved at overvåge spikes i scanning og angrebsforsøg kan man faktisk få et forvarsel og dermed styrke overvågning og systemhærdning, før en ny sårbarhed bliver kendt.

Researcherne anbefaler, at scanning-aktivitet overvåges nøje, og at IP-adresser med mistænkelig adfærd blokeres tidligt. Det kan forhindre angribere i at indsamle information, som senere bruges til målrettede angreb.

Google Project Zero: Tidligere varsling uden tekniske detaljer

I samme boldgade har Google Project Zero annonceret, at de fremover vil offentliggøre opdagelsen af nye sårbarheder inden for en uge – uden tekniske detaljer – for at give systemadministratorer mulighed for at styrke deres forsvar, mens leverandører arbejder på patches. Også dette forventes at reducere den såkaldte "patch gap" - altså det tidsrum hvor systemadminstrorer løber om kap med tiden for at få patchet sårbarheder før trusselsaktører får udnyttet dem.

Læs mere

https://www.bleepingcomputer.com/news/security/spikes-in-malicious-activity-precede-new-cves-in-80-percent-of-cases/

Information