Cibercriminosos começam explorações 22 minutos após lançamento de PoC

Os cibercriminosos conseguem utilizar explorações proof-of-concept (PoC) mais rapidamente em ataques reais, por vezes num intervalo rápido de apenas 22 minutos depois das explorações serem disponibilizadas, segundo informações reveladas no relatório Application Security 2024 da Cloudflare.

A Cloudflare revelou uma maior atividade de verificação de CVE divulgados, seguidas das injeções de comandos e tentativas de utilizar como armas os PoC disponíveis.

Entre o período examinado, maio de 2023 e março de 2024, as falhas mais exploradas foram a CVE-2023-50164 e a CVE-2022-33891 nos produtos da Apache, a CVE-2023-29298, a CVE-2023-38203 e a CVE-2023-26360 no Coldfusion, e a CVE-2023-35082 na MobileIron. Um exemplo do aumento da velocidade de exploração das falhas é o CVE-2024-27198, uma falha de desvio de autenticação no JetBrains TeamCity.

A empresa de cibersegurança verificou um caso de um cibercriminosos que implementou uma exploração baseada em PoC apenas 22 minutos após a sua publicação, o que deixou os responsáveis pela defesa sem margem para poderem corrigir a falha. A organização explica que a única solução para combater a rapidez passa por implementar assistência através de inteligência artificial para o rápido desenvolvimento  de regras de deteção eficazes.

“A velocidade de exploração dos CVE divulgados é, muitas vezes, mais rápida do que a velocidade a que os humanos podem criar regras WAF ou criar e implementar patches para atenuar ataques”, reitera a empresa no relatório.

A companhia americana afirmou que esta realidade reflete, em parte, o resultado de cibercriminosos que se especializam especificamente em certas categorias e produtos de CVEs, desenvolvendo mais capacidades para perceber como tirar rápido partido de divulgações de vulnerabilidades.