Netwerkruis voorspelt kwetsbaarheden in randapparatuur voordat deze bekend worden

Cybercriminelen testen kwetsbaarheden eerst voordat ze toeslaan

Voordat cybercriminelen een kwetsbaarheid in randapparatuur misbruiken, voeren ze vaak een gedetailleerde voorbereiding uit. Ze testen hoe wijdverspreid de fout is en welke toegang deze biedt, om vervolgens gegevens te stelen of systemen te verstoren. Deze voorbereidende fase genereert echter een duidelijke digitale 'ruis' in het netwerkverkeer. Onderzoek van GreyNoise toont aan dat deze signalen kunnen dienen als een vroege waarschuwing voor nieuwe kwetsbaarheden, soms zelfs voordat deze officieel worden bekendgemaakt.

Belangrijkste bevindingen uit het onderzoek

Tijdens een studie van 103 dagen in de afgelopen winter analyseerde GreyNoise 104 duidelijke pieken in netwerkactiviteit gericht op 18 verschillende leveranciers van randapparatuur, waaronder routers, VPN’s, firewalls en beveiligingssystemen. Opvallend genoeg volgde in de helft van deze gevallen binnen drie weken een officiële melding van een kwetsbaarheid door dezelfde leverancier. Gemiddeld arriveerde deze waarschuwing negen dagen voordat de leverancier zijn klanten informeerde.

Andrew Morris, oprichter en hoofdarchitect van GreyNoise, verklaart:

"Elke keer dat we grote pieken zien in verkenning en inventarisatie van een specifiek apparaat, komt dit omdat iemand op de hoogte is van een kwetsbaarheid. Binnen enkele dagen of weken — meestal binnen de termijn van verantwoorde openbaarmaking — komt er een zeer ernstige kwetsbaarheid naar buiten."

Randapparatuur blijft een favoriet doelwit voor aanvallers

Randapparatuur zoals beveiligingssystemen blijft een aantrekkelijk doelwit voor cybercriminelen. Morris benadrukt de ironie hiervan: "Aanvallers hacken graag beveiligingsapparaten. Het is verbazingwekkend dat we deze apparaten nog steeds niet serieus genoeg nemen om ze te vervangen of te upgraden."

GreyNoise koppelde de waargenomen activiteitspieken aan een reeks kwetsbaarheden die recentelijk door verschillende leveranciers zijn gemeld, waaronder Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5 en Netgear.

Hoe herken je een dreigende kwetsbaarheid?

Het onderzoek van GreyNoise biedt inzicht in het herkennen van voortekenen van een dreigende kwetsbaarheid. De organisatie onderscheidt twee belangrijke indicatoren:

• Intensiteit: Het aantal sessies dat een specifieke leverancier onder vuur neemt. Een sterke toename duidt op gerichte aanvallen.
• Breedte: Het aantal unieke IP-adressen dat deelneemt aan de activiteit. Een groei hierin wijst op een gecoördineerde escalatie.

Morris adviseert:

"Wanneer zowel de intensiteit als de breedte van de targeting tegelijkertijd toenemen, is dit een hoog betrouwbare indicator dat er een kwetsbaarheid op komst is. Zie je alleen een toename in IP-adressen zonder intensiteit, dan is dit geen betrouwbare voorspeller."

Onderzoek bevestigt trend in cyberdreigingen

De bevindingen van GreyNoise sluiten aan bij eerdere onderzoeken van onder meer Verizon, Google Threat Intelligence Group en Mandiant. Volgens GreyNoise vindt deze ontwikkeling plaats in een periode die zij beschrijven als "het meest actieve cyberbedreigingslandschap ooit".