Гленн Торп из GreyNoise подсчитывает стоимость упущенных возможностей: CISA незаметно обновляет информацию об уязвимостях, используемых вымогателями, без оповещения защитников.
59 раз в течение 2025 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) незаметно изменяло уведомления об уязвимостях, чтобы отразить их использование киберпреступниками, занимающимися программами-вымогателями. Эксперты считают, что это проблема.
«Расстроенный» тем, что агентство не уведомляет защитников об изменении ключевой информации, Гленн Торп, старший директор по исследованиям безопасности и инжинирингу обнаружения в GreyNoise, подсчитал количество упущенных возможностей для потенциальной остановки атак программ-вымогателей в прошлом году.
CISA ведет свой каталог известных эксплуатируемых уязвимостей (KEV) и почти ежедневно пополняет его сведениями об уязвимостях, которые атакующие используют для успешного получения доступа к сетям жертв.
Цель каталога — определить наиболее серьезные уязвимости в любой момент времени и проинформировать защитников, особенно тех, кто работает в федеральных агентствах, о том, какие ошибки следует приоритизировать.
Одной из особенностей каталога является указание на то, осведомлено ли CISA об использовании данной уязвимости теми, кто осуществляет атаки программ-вымогателей.
Специалисты по информационной безопасности, как правило, считают наиболее опасными те уязвимости, которые могут привести к краже и шифрованию файлов, и уделяют им первоочередное внимание. Предыдущие исследования показали, что такие уязвимости устраняются в 2,5 раза быстрее, чем те, которые не связаны с атаками программ-вымогателей.
Дело в том, что высокая скорость, с которой CISA добавляет эти новые ошибки в каталог, часто опережает возможности защитников. Как обнаружил Торп, об использовании ошибок, добавляемых CISA в каталог, киберпреступниками, занимающимися программами-вымогателями, становится известно только после их добавления, а CISA не оповещает технических специалистов, когда индикатор «известное использование программами-вымогателями» переключается с «неизвестно» на «известно».
«Когда это поле переключается с «Неизвестно» на «Известно», CISA заявляет: «У нас есть доказательства того, что операторы программ-вымогателей теперь используют эту уязвимость в своих кампаниях», — сказал Торп.
«Это существенное изменение в вашей оценке рисков. Ваш расчет приоритетов должен измениться. Но нет никакого оповещения, никакого объявления. Просто изменение поля в JSON-файле».
Анализ Торпа 59 измененных уязвимостей показал, что наибольшая доля (16) приходилась на CVE Microsoft, а среди других распространенных поставщиков были Ivanti, Fortinet, PANW и Zimbra.
«Операторы программ-вымогателей — это, в конце концов, экономические субъекты. Они инвестируют в разработку эксплойтов для платформ с широким распространением и доступом высокой ценности. Межсетевые экраны, VPN-концентраторы и почтовые серверы идеально подходят под этот профиль».
Он также обнаружил, что более трети (39%) ошибок, подтвержденных как использованные в кампаниях программ-вымогателей в 2025 году, были впервые добавлены в каталог KEV до 2023 года. Самая старая уязвимость, измененная в прошлом году, была добавлена за 1353 дня до этого, а самая быстрая — всего за один день.
Имейте в виду: некоторые уязвимости известны как используемые группами вымогателей на момент добавления, поэтому их индикатор «известное использование программами-вымогателями» всегда был установлен в «Известно», то есть они никогда не меняли свой статус.
Торп далее отметил, что обход аутентификации и ошибки выполнения удаленного кода с наибольшей вероятностью меняли свой статус после добавления в каталог KEV.
GreyNoise теперь выпустила RSS-канал, на который защитники могут подписаться, чтобы видеть изменения статуса программ-вымогателей в записях каталога KEV.
Канал обновляется ежечасно и является результатом несбывшихся надежд Торпа на перемены после презентации на BSidesLV в 2024 году.
The Register попросил CISA прокомментировать ситуацию. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones