Nettverkstrafikk kan varsle om neste store sårbarhet i enhetsnettverk

Forskere oppdager tidlige varsler om sårbarheter

Angripere tester sjelden sårbarheter i enhetsnettverk tilfeldig. De starter med å kartlegge hvor utbredt svakheten er og hvilken tilgang den gir, før de eventuelt stjeler data eller forstyrrer tjenester. Denne forundersøkelsen etterlater imidlertid digitale spor – og disse kan fungere som tidlige varsler om kommende trusler.

GreyNoise, et amerikansk cybersikkerhetsselskap, har gjennomført en studie som viser at økninger i nettverkstrafikk ofte varsler om nye sårbarheter før de blir offentliggjort. Studien, som ble gjennomført over 103 dager vinteren 2023, avdekket at halvparten av alle aktivitetstopper ble fulgt av en sårbarhetsvarsling fra samme leverandør innen tre uker.

Ni dagers varsel i gjennomsnitt

Ifølge rapporten var gjennomsnittlig varselstid ni dager før leverandørene offentliggjorde sårbarheten. Andrew Morris, grunnlegger og sjefsarkitekt i GreyNoise, forklarer sammenhengen:

«Nesten hver gang vi ser store økninger i rekognosering og inventaraktivitet rettet mot en bestemt enhet, skyldes det at noen allerede kjenner til en sårbarhet. Innen noen dager eller uker – vanligvis innenfor rammen av ansvarlig varsling – kommer det en ny, alvorlig sårbarhet.»

GreyNoise understreker at hver ekstra dag med varsel er avgjørende for forsvarere, da det gir dem mulighet til å iverksette tiltak før angrepene skjer.

104 aktivitetstopper hos 18 leverandører

I løpet av studieperioden registrerte GreyNoise 104 distinkte aktivitetstopper hos 18 forskjellige leverandører. Disse inkluderte innretninger som rutere, VPN-løsninger, brannmurer og andre sikkerhetssystemer – systemer som ofte er utsatt for angrep.

Morris påpeker ironien i at angripere ofte retter seg mot sikkerhetsløsninger:

«Det er ironisk at angripere elsker å hacke sikkerhetsenheter. Det har ikke blitt ille nok til at vi tar sikkerheten til disse enhetene på alvor. Det er ikke ille nok til at vi begynner å bytte ut disse enhetene med nye løsninger.»

Større leverandører rammet

GreyNoise knyttet aktivitetstopper til en rekke sårbarheter som ble offentliggjort av store leverandører, blant annet Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5 og Netgear.

«Dette blir stadig mer empirisk og forutsigbart. Det er nesten som værmelding nå,» sier Morris.

Hvordan tolke varslene?

GreyNoise deler aktivitetstopper inn i to kategorier: intensitet og bredde. Session counts viser hvor hardt eksisterende kilder angriper en bestemt leverandør, mens unique source IP counts avslører hvorvidt nye aktører er på banen.

«Når både intensiteten og bredden på angrepene øker samtidig, signaliserer det en koordinert eskalering,» står det i rapporten. Forskerne anbefaler:

• Når du ser en økning i sesjoner mot en av dine leverandører og nye IP-adresser som slutter seg til aktiviteten, bør du undersøke nærmere.
• Hvis du bare ser en økning i IP-adresser, bør du ikke anta at en sårbarhet er på vei.

Støtter tidligere forskning

Studien underbygger funn fra andre aktører som Verizon, Google Threat Intelligence Group og Mandiant. GreyNoise kaller perioden for «den mest aktive noensinne» når det gjelder sårbarheter i enhetsnettverk.