Los actores de amenazas se apresuran a utilizar como arma los exploits disponibles en ataques reales, a veces tan pronto como 22 minutos después de que las prueba de concepto (PoC) se ponen a disposición del público.
Esto es según el informe de seguridad de aplicaciones de Cloudflare para 2024, que cubre la actividad entre mayo de 2023 y marzo de 2024 y destaca las tendencias de amenazas emergentes.
Cloudflare, que actualmente procesa un promedio de 57 millones de solicitudes HTTP por segundo, continúa viendo una mayor actividad de escaneo de CVE divulgados, seguida de inyecciones de comandos e intentos de convertir los PoC disponibles en armas.
Durante el período examinado, las fallas más atacadas fueron CVE-2023-50164 y CVE-2022-33891 en productos Apache, CVE-2023-29298, CVE-2023-38203 y CVE-2023-26360 en Coldfusion, y CVE-2023- 35082 en MobileIron.
Un ejemplo característico del aumento en la velocidad de la utilización de armas es CVE-2024-27198, una falla de omisión de autenticación en JetBrains TeamCity. Cloudflare observó un caso en el que un atacante implementó un exploit basado en una PoC 22 minutos después de su publicación, lo que prácticamente no dejó a los defensores ningún margen para la oportunidad de remediar el problema.
La empresa dice que la única forma de combatir esta velocidad es emplear asistencia de inteligencia artificial para desarrollar rápidamente reglas de detección efectivas.
"La velocidad de explotación de los CVE revelados suele ser más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques", explica Cloudflare en el informe. "Esto también se aplica a nuestro propio equipo interno de analistas de seguridad que mantiene el conjunto de reglas administradas WAF, lo que nos ha llevado a combinar las firmas escritas por humanos con un enfoque basado en ML para lograr el mejor equilibrio entre pocos falsos positivos y velocidad de respuesta".
Cloudflare dice que esto es en parte el resultado de actores de amenazas específicos que se especializan en ciertas categorías y productos CVE, y que desarrollan una comprensión profunda de cómo aprovechar rápidamente las nuevas revelaciones de vulnerabilidades.
El 6,8% de todo el tráfico de Internet es DDoS
Otro punto destacado sorprendente en el informe de Cloudflare es que el 6,8% de todo el tráfico diario de Internet es tráfico distribuido de denegación de servicio (DDoS) destinado a hacer que las aplicaciones y servicios en línea no estén disponibles para los usuarios legítimos.
Se trata de un aumento notable en comparación con el 6% registrado durante el período de 12 meses anterior (2022-2023), lo que muestra un aumento en el volumen general de ataques DDoS.
Cloudflare afirma que durante grandes ataques globales, el tráfico malicioso puede representar hasta el 12% de todo el tráfico HTTP. "Centrándonos únicamente en las solicitudes HTTP, en el primer trimestre de 2024 Cloudflare bloqueó un promedio de 209 mil millones de amenazas cibernéticas cada día (+86,6 % interanual) [... lo que] es un aumento sustancial en términos relativos en comparación con el mismo período del año pasado".
El informe, disponible para descargar aquí, proporciona recomendaciones adicionales para los defensores y conocimientos más profundos sobre las estadísticas compiladas.
Fuente: CloudFlare