ช่องโหว่ที่ถูกใช้โจมตีบ่อยที่สุดในปี 2023 ส่วนใหญ่เริ่มต้นจากการเป็น Zero-Day ตามข้อมูลจากหน่วยงานของรัฐบาล
ตามข้อมูลจากหน่วยงานของรัฐบาลในพันธมิตรข่าวกรอง Five Eyes ช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023 ส่วนใหญ่เริ่มต้นจาก Zero-Day
เมื่อเทียบกับปีที่ผ่านมา ซึ่งมีช่องโหว่ที่ถูกโจมตีเป็น Zero-Day น้อยกว่า 50% ช่องโหว่ในปี 2023 ได้เห็นการเพิ่มขึ้นอย่างมีนัยสำคัญในการใช้ช่องโหว่ Zero-Day เพื่อโจมตีเครือข่ายขององค์กรตามข้อมูลที่สรุปไว้ในคำแนะนำ
ข้อมูลแสดงให้เห็นว่า ผู้คุกคาม ยังคงสามารถใช้ช่องโหว่ที่เผยแพร่สู่สาธารณะภายในสองปีหลังจากการเปิดเผยได้สำเร็จ “การใช้ประโยชน์จากช่องโหว่นี้จะลดลงตามกาลเวลาเมื่อระบบต่าง ๆ ได้รับการอัปเดตหรือเปลี่ยนแปลง ผู้คุกคามไซเบอร์จะได้ประโยชน์จากการใช้ Zero-Day น้อยลงเมื่อความพยายามทางไซเบอร์ระดับนานาชาติช่วยลดอายุการใช้งานของช่องโหว่ Zero-Day” หน่วยงานเหล่านี้กล่าว
การพัฒนาผลิตภัณฑ์ที่มุ่งเน้นด้านความปลอดภัย การเพิ่มแรงจูงใจในการเปิดเผยช่องโหว่อย่างรับผิดชอบ และการใช้เครื่องมือการตรวจจับและตอบสนอง (EDR) ที่ซับซ้อน ควรช่วยลดอายุการใช้งานของ Zero-Day
ช่องโหว่ที่ถูกโจมตีบ่อยที่สุดในปี 2023 เริ่มต้นจาก CVE-2023-3519 และ CVE-2023-4966 ซึ่งเป็นช่องโหว่ระดับวิกฤติใน Citrix NetScaler ADC และ Gateway NetScaler ซึ่งได้รับการแก้ไขในเดือนกรกฎาคมและตุลาคมปีที่แล้ว แต่แต่ละช่องโหว่ได้ถูกใช้เป็น Zero-Day ในเดือนก่อนหน้า
หน่วยงานเหล่านี้ยังเน้นย้ำถึง CVE-2023-20198 และ CVE-2023-20273 ซึ่งเป็นช่องโหว่ใน Cisco IOS XE ที่ได้รับการแก้ไขในตุลาคม 2023 หลังจากถูกใช้เป็น Zero-Day ในการโจมตีที่นำไปสู่การดำเนินการคำสั่งด้วยสิทธิ์ผู้ดูแลระบบ
Fortinet ถูกโจมตีบ่อยครั้งด้วยช่องโหว่ CVE-2023-27997 ซึ่งสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องการการยืนยันตัวตนเพื่อดำเนินการโค้ดที่ไม่พึงประสงค์บน FortiOS และ FortiProxy ที่มีช่องโหว่
CVE-2023-34362 ช่องโหว่ SQL injection ที่ร้ายแรงใน MOVEit Transfer ซึ่งถูกใช้ในการโจมตีในแคมเปญ Cl0p ที่กระทบต่อองค์กรกว่า 2,770 แห่งและผู้คนเกือบ 96 ล้านคนก็ติดอันดับช่องโหว่ที่ถูกโจมตีบ่อยในปีที่แล้ว
CVE-2023-2868 เป็นช่องโหว่ remote command injection ใน Barracuda Email Security Gateway (ESG) ที่ถูกโจมตีหลายเดือนก่อนที่มันจะถูกค้นพบ
Microsoft Outlook ก็ถูกโจมตีบ่อยครั้ง โดยมีการใช้ช่องโหว่ CVE-2023-23397 ซึ่งเป็นช่องโหว่ zero-click ที่ถูกโจมตีโดยกลุ่ม APT ของรัสเซียเป็นเวลาเกือบหนึ่งปี ก่อนที่จะมีการปล่อยแพตช์
รายการยังรวมถึง CVE-2023-22515 ซึ่งเป็นช่องโหว่การอนุญาตที่ไม่ถูกต้องใน Atlassian Confluence Data Center และ Confluence Server ที่เริ่มถูกใช้เพียงไม่กี่วันหลังจากการเปิดเผยสาธารณะในเดือนตุลาคม 2023
ภายในไม่กี่วันหลังจากการเปิดเผยสาธารณะ ผู้คุกคามเริ่มใช้ CVE-2023-39143 ช่องโหว่การรันโค้ดจากระยะไกลใน PaperCut NG/MF และ **CVE-2023-42793 ซึ่งเป็นการข้ามการยืนยันตัวตนใน TeamCity CI/CD server
หน่วยงานเหล่านี้เตือนว่า ช่องโหว่ 32 รายการ ในผลิตภัณฑ์จาก Apple, Atlassian, Cisco, Dahua, F5, FatPipe, Fortinet, Fortra, GitLab, Ivanti, Juniper Networks, Microsoft, Netwrix, Novi, Progress Telerik, RARLAB, Sophos, Unitronics, และ Zoho ถูกใช้โจมตีบ่อยครั้ง
ผู้ขายและนักพัฒนาควรระบุ คลาสของช่องโหว่ที่ถูกโจมตีบ่อย และดำเนินการป้องกันเพื่อลบช่องโหว่เหล่านั้นออกไป และใช้แนวทางการพัฒนาที่ปลอดภัยตามการออกแบบ รวมถึงการตั้งค่าอย่างปลอดภัยสำหรับผลิตภัณฑ์ที่พร้อมใช้งานในขั้นตอนการผลิตและรวมสาเหตุหลักสำหรับทุก CVE ที่เผยแพร่
องค์กรควรปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด รวมถึงการตั้งกระบวนการจัดการแพตช์ที่แข็งแกร่ง การค้นพบสินทรัพย์โดยอัตโนมัติ การสำรองข้อมูลระบบเป็นประจำ การรักษาแผนการตอบสนองต่อเหตุการณ์ไซเบอร์ที่อัปเดต การใช้รหัสผ่านที่แข็งแกร่งและการยืนยันตัวตนหลายปัจจัยที่ต้านทานการฟิชชิ่ง (MFA) และการตั้งค่าการควบคุมการเข้าถึงที่มีสิทธิ์น้อยที่สุด (least-privilege access controls) รวมถึง Zero Trust Network Architecture.
Credit: Securityweek.com
