cibersegurança vulnerabilidades dispositivos de borda GreyNoise ataques cibernéticos firewalls roteadores VPNs

Sinais de alerta: o 'ruído' pré-ataque que antecede vulnerabilidades

Invasores não exploram vulnerabilidades em dispositivos de borda de forma aleatória. Antes de agir, eles testam o alcance da falha e o nível de acesso que podem obter, preparando o terreno para roubar dados ou interromper operações. Essa fase de reconhecimento pré-ataque deixa rastros: picos de tráfego direcionados a fabricantes específicos.

Segundo pesquisa exclusiva da GreyNoise, compartilhada com o CyberScoop, esses sinais funcionam como um sistema de alerta precoce. Durante estudo de 103 dias no inverno passado, a empresa detectou 104 picos distintos de atividade em 18 fabricantes. Metade dessas ocorrências foi seguida por divulgações de vulnerabilidades do mesmo fornecedor em até três semanas.

O tempo médio de aviso foi de nove dias antes do alerta público. "Quase sempre que vemos picos em larga escala de atividade de reconhecimento ou inventário voltados a um dispositivo específico, é porque alguém já conhece uma vulnerabilidade", afirmou Andrew Morris, fundador e arquiteto-chefe da GreyNoise, ao CyberScoop.

"Dentro de poucos dias ou semanas — geralmente dentro do prazo de divulgação responsável — uma vulnerabilidade muito grave é anunciada. Cada dia de antecedência conta para que as defesas possam se preparar e evitar ataques antes que eles ocorram."

Andrew Morris, fundador da GreyNoise

Dispositivos de segurança: os alvos preferidos dos invasores

O estudo da GreyNoise analisou sistemas embarcados como roteadores, VPNs, firewalls e outros dispositivos de segurança — os mais explorados por cibercriminosos. "Os invasores adoram hackear dispositivos de segurança. A ironia disso não me escapa", declarou Morris. "A situação ainda não está ruim o suficiente para que a gente leve a sério a segurança desses equipamentos. Não é grave o suficiente para substituí-los ou trocar de fornecedor."

Como identificar um alerta real

A GreyNoise classificou os picos de tráfego em dois critérios: intensidade e abrangência.

  • Contagem de sessões: indica a intensidade do ataque a um fabricante específico.
  • IPs únicos: mostra quantas novas fontes se juntam à atividade suspeita.

Quando ambos os fatores aumentam simultaneamente, sinaliza uma escalada coordenada. "Se você observar um pico de sessões contra um de seus fornecedores e novos IPs se unindo ao mesmo tempo, trate como um motivo de alta confiança para investigar mais a fundo", orienta o relatório. "Se apenas houver um aumento de IPs, não assuma que uma vulnerabilidade está por vir."

Fabricantes afetados e o padrão de ataques

A GreyNoise rastreou os picos de tráfego até vulnerabilidades divulgadas por grandes nomes do mercado, incluindo:

  • Cisco
  • Palo Alto Networks
  • Fortinet
  • Ivanti
  • HPE
  • MicroTik
  • TP-Link
  • VMware
  • Juniper
  • F5
  • Netgear

"Isso está se tornando cada vez mais empírico, como a meteorologia em vez de misticismo", comparou Morris. "Agora é como um relógio."

Estudos corroboram a descoberta

As conclusões da GreyNoise alinham-se a pesquisas recentes de outras fontes confiáveis, como Verizon, Google Threat Intelligence Group e Mandiant. O relatório foi publicado em um momento que a GreyNoise define como "o período mais intenso de exploração de vulnerabilidades em dispositivos de borda dos últimos anos".

Fonte: CyberScoop
Justin Sun oferece negociação após hack de US$ 293 milhões em DAO Kelp
← Anterior

Justin Sun oferece negociação após hack de US$ 293 milhões em DAO Kelp

 Evolução política e econômica dos EUA: destaques históricos de maio em retrospectiva
Próximo →

Evolução política e econômica dos EUA: destaques históricos de maio em...