Согласно последнему отчёту аналитической компании VulnCheck, 2024 год отметился значительным ростом числа активно эксплуатируемых уязвимостей. Специалисты зафиксировали 768 различных CVE (Common Vulnerabilities and Exposures), использованных злоумышленниками в реальных кибератаках. Этот показатель на 20% превышает статистику 2023 года, когда было зарегистрировано 639 эксплуатируемых уязвимостей. Данные опубликованы в годовом отчёте VulnCheck об эксплуатации уязвимостей.
Динамика эксплуатации уязвимостей нулевого дня
Исследование показало, что 23,6% известных эксплуатируемых уязвимостей (KEV) подверглись атакам либо в день публичного раскрытия информации о них, либо до официального объявления. Хотя этот показатель несколько снизился по сравнению с 2023 годом (26,8%), временные рамки эксплуатации уязвимостей остаются непредсказуемыми и могут меняться на протяжении всего жизненного цикла уязвимости. Это означает, что даже «старые» CVE могут внезапно стать активно эксплуатируемыми спустя месяцы после публикации.
Масштаб угрозы и статистика использования
Аналитики отмечают, что только 1% от всех публично раскрытых CVE был задействован в реальных атаках в 2024 году. Однако факты эксплуатации часто обнаруживаются значительно позже первоначального раскрытия уязвимости, что означает реальный показатель может быть выше. Для приоритизации патчинга рекомендуется сверяться с каталогом CISA Known Exploited Vulnerabilities (KEV), который содержит только подтверждённые эксплуатируемые уязвимости.
Критические уязвимости и масштаб потенциальных угроз
Особую обеспокоенность вызывает тот факт, что около 400 000 систем, доступных через интернет, потенциально уязвимы для атак, использующих всего 15 известных уязвимостей. Под угрозой находятся продукты ведущих производителей, включая Apache, Atlassian, Microsoft и Cisco. Полный перечень наиболее активно эксплуатируемых CVE доступен в базе данных NVD (National Vulnerability Database).
Кто находится под наибольшим риском
Согласно анализу VulnCheck, в зоне повышенного риска находятся:
- организации с задержкой в применении патчей более 30 дней — 23,6% уязвимостей эксплуатируются в первые дни после публикации;
- компании, использующие периметровые устройства (VPN-шлюзы, брандмауэры, балансировщики нагрузки) с выходом в интернет — именно эта категория оборудования доминирует в списке эксплуатируемых CVE;
- предприятия с устаревшими версиями продуктов Apache, Atlassian Confluence, Microsoft Exchange и Cisco IOS, не прошедшие через циклы обновления 2023–2024 годов;
- организации без формализованного процесса управления уязвимостями, опирающиеся исключительно на автоматические обновления.
Практические рекомендации по снижению риска
Специалисты VulnCheck рекомендуют организациям предпринять следующие конкретные шаги:
- подпишитесь на уведомления CISA KEV и настройте процесс экстренного патчинга для уязвимостей, попавших в каталог в течение 48 часов;
- проведите инвентаризацию всех интернет-экспонированных систем и сопоставьте их с текущим списком CISA KEV для выявления незакрытых брешей;
- внедрите политику «patch SLA» — критические уязвимости с подтверждённой эксплуатацией должны закрываться не позднее 7 дней с момента публикации патча;
- ограничьте прямой доступ административных интерфейсов периметровых устройств из интернета, используя VPN или jump-хосты;
- поддерживайте актуальность систем EDR/XDR и IDS/IPS, поскольку они способны блокировать попытки эксплуатации до применения патча.
