研究人員發(fā)現(xiàn)，在大約 80% 的案例中，針對邊緣網(wǎng)絡(luò)設(shè)備的惡意活動激增（如網(wǎng)絡(luò)偵察、定向掃描和暴力破解嘗試），是新安全漏洞（CVE）出現(xiàn)的前兆。

這一發(fā)現(xiàn)來自威脅監(jiān)測公司 GreyNoise。該公司表示，這些現(xiàn)象并非隨機(jī)發(fā)生，而是根據(jù)案例統(tǒng)計得出的嚴(yán)謹(jǐn)結(jié)果。

GreyNoise 的結(jié)論基于其 " 全球觀測網(wǎng)格 "（GOG）自 2024 年 9 月以來收集的數(shù)據(jù)，并通過應(yīng)用客觀的統(tǒng)計閾值，避免了可能扭曲結(jié)果的 " 選擇性篩選 " 問題。

剔除一些模糊及低質(zhì)量的數(shù)據(jù)后，該公司最終確定了 216 起符合條件的激增事件，這些事件與 8 家企業(yè)級邊緣設(shè)備供應(yīng)商相關(guān)。

研究人員解釋道：" 在我們研究的所有 216 起激增事件中，50% 在三周內(nèi)出現(xiàn)了新的 CVE 漏洞，80% 在六周內(nèi)出現(xiàn)了新的 CVE 漏洞。"

這種關(guān)聯(lián)性在 Ivanti、SonicWall、Palo Alto Networks 和 Fortinet 的產(chǎn)品上尤為顯著，而在 MikroTik、Citrix 和 Cisco 的產(chǎn)品上則相對較弱。有國家支持背景的黑客組織多次將此類系統(tǒng)作為目標(biāo)，以獲取初始訪問權(quán)限并維持持久控制。

GreyNoise 指出，在大多數(shù)情況下，這些峰值背后，攻擊者針對的是已知的舊漏洞進(jìn)行攻擊嘗試。

研究人員認(rèn)為，這種行為要么會推動新漏洞的發(fā)現(xiàn)，要么能讓攻擊者找到暴露在互聯(lián)網(wǎng)上的端點，以便在攻擊的下一階段利用新型漏洞對這些端點展開攻擊。

預(yù)警信號

傳統(tǒng)上，防御方會在 CVE 漏洞公布后才采取應(yīng)對措施，但 GreyNoise 的研究結(jié)果表明，攻擊者的行為可以作為一種先行指標(biāo)，成為組織主動防御的工具。

這些漏洞披露前的活動激增，為防御方提供了準(zhǔn)備時間：他們可以加強(qiáng)監(jiān)控、加固系統(tǒng)以抵御潛在攻擊，即便安全更新無法提供保護(hù)，且他們并不清楚系統(tǒng)的哪個組件或功能才是實際攻擊目標(biāo)。

GreyNoise 建議，應(yīng)密切監(jiān)控掃描活動并及時封禁來源 IP，這樣可以阻止這些 IP 進(jìn)行通常會引發(fā)后續(xù)實際攻擊的偵察行為。研究人員強(qiáng)調(diào)，在這類情況下，出現(xiàn)針對舊漏洞的掃描是意料之中的事，因為攻擊者的目的是對暴露的資產(chǎn)進(jìn)行分類記錄。因此，不應(yīng)將這些掃描視為針對已完全打補(bǔ)丁的端點的失敗入侵嘗試而置之不理。

在相關(guān)的開發(fā)中，谷歌 "Project Zero" 宣布將在發(fā)現(xiàn)漏洞后的一周內(nèi)向公眾通報相關(guān)情況，并在供應(yīng)商開發(fā)補(bǔ)丁時幫助系統(tǒng)管理員加強(qiáng)防御。Project Zero 現(xiàn)在將共享受新漏洞影響的供應(yīng)商 / 項目和產(chǎn)品、發(fā)現(xiàn)時間和披露截止日期（仍然是 90 天）。

谷歌表示，由于不會公布技術(shù)細(xì)節(jié)、概念驗證漏洞利用代碼或其他可能讓攻擊者有機(jī)可乘的信息，但這一更改不會對安全性產(chǎn)生不利影響，同時還有助于縮短 " 補(bǔ)丁缺口 "。