Οι υποβολές ευπαθειών έχουν αυξηθεί τους τελευταίους 12 μήνες, με τις αναφορές κρίσιμων ζητημάτων που έχουν υποβληθεί στην πλατφόρμα Bugcrowd να καταγράφουν άλμα 65%.
Τα δεδομένα προέρχονται από την πλατφόρμα Bugcrowd και αντικατοπτρίζει την αύξηση των πληρωμών σε bug bounties καθώς οι ηθικοί χάκερ κυνηγούν πιο κρίσιμες αδυναμίες, συνδυάζοντας σφάλματα και αναπτύσσοντας έναν proof-of-concept exploit κώδικα.
Η πλατφόρμα Bugcrowd λέει ότι οι εταιρείες που προσφέρουν καταναλωτικές υπηρεσίες και υπηρεσίες στον κλάδο των μέσων ενημέρωσης λαμβάνουν αναφορές για κρίσιμα ζητήματα σε λιγότερο από μια ημέρα.
Για οργανισμούς στον τομέα της κυβέρνησης και της αυτοκινητοβιομηχανίας, τα σφάλματα υψηλού κινδύνου υποβάλλονται σε λίγες μέρες.
Φέτος, οι υποβολές για ευπάθειες μέσω της πλατφόρμας Bugcrowd σημείωσαν αύξηση 50%, ενώ για τις αναφορές προτεραιότητας 1 (οι πιο κρίσιμες) σημειώθηκε αύξηση 65%.
Τα web apps παραμένουν στις κορυφαίες προτιμήσεις των χάκερ, αν και οι επιτιθέμενοι διαφοροποιούν τους στόχους για να παραμείνουν ανταγωνιστικοί.
Μεταξύ Ιανουαρίου και Οκτωβρίου 2020, οι οργανισμοί στις χρηματοοικονομικές υπηρεσίες δέχτηκαν περισσότερες υποβολές ευπαθειών από ό, τι σε ολόκληρο το 2019. Οι πληρωμές για ευπάθειες P1 σε αυτόν τον τομέα διπλασιάστηκαν το δεύτερο τρίμηνο του τρέχοντος έτους.
Επίσης, οι χάκερ ενίσχυσαν τις επιθέσεις τους, οδηγώντας τις εταιρείες στο να αυξήσουν τις πληρωμές για σοβαρά ζητήματα. Συνολικά, οι πληρωμές για κρίσιμα τρωτά σημεία (P1) αυξήθηκαν κατά 31% από το πρώτο έως το δεύτερο τρίμηνο. Το ίδιο συνέβη και για σφάλματα P2 μεταξύ Q2 και Q3.
Στην κορυφή της λίστας των πιο ευάλωτων ευπαθειών που υποβλήθηκαν μέσω της πλατφόρμας Bugcrowd είναι τα ελεγχόμενα από τον άνθρωπο “σπασμένα” access controls, καταργώντας το cross-site scripting (XSS).
Η εξαγορά του subdomain ανέβηκε επίσης δύο θέσεις στη λίστα, από την έκτη θέση βρέθηκε στην τέταρτη – ο λόγος πίσω από το άλμα ήταν η αυξημένη χρήση αυτοματισμού των χάκερ στην αναζήτηση των σφαλμάτων.
Παρόλο που οι ευπάθειες zero-day τραβούν όλη την προσοχή καθώς συνήθως συνδέονται με επιθέσεις από μια ομάδα APT, τις περισσότερες φορές αυτοί οι αντίπαλοι βασίζονται σε γνωστά exploits.
Η Bugcrowd σημειώνει ότι οι αλλαγές που καταγράφηκαν φέτος συμβαδίζουν με τις προκλήσεις της απομακρυσμένης εργασίας που επιβάλλει η πανδημία. Αφού ξόδευαν περισσότερο χρόνο στο σπίτι, οι κυνηγοί σφαλμάτων ήταν σε θέση να είναι πιο δραστήριοι και να βρουν σφάλματα υψηλότερης σοβαρότητας, καθώς και να υποβάλουν αναφορές καλύτερης ποιότητας.
Πηγή πληροφοριών: bleepingcomputer.com
