Los atacantes rara vez explotan indiscriminadamente una vulnerabilidad de un dispositivo perimetral. Por lo general, primero prueban qué tan ampliamente se puede utilizar la falla y cuánto acceso puede proporcionar, luego pasan a robar datos o interrumpir las operaciones.

La vigilancia y planificación previas al ataque dejan mucho ruido a su paso. Estas señales, en particular los picos de tráfico que afectan a proveedores específicos, pueden actuar como un sistema de alerta temprana, que a menudo precede a las revelaciones públicas de vulnerabilidades, según una investigación que GreyNoise compartió exclusivamente con CyberScoop antes de su lanzamiento.

Aproximadamente la mitad de cada aumento de actividad que GreyNoise detectó durante un estudio de 103 días el invierno pasado fue seguido por una divulgación de vulnerabilidad por parte del mismo proveedor objetivo en un plazo de tres semanas, dijo GreyNoise en su informe. informe.

Los investigadores determinaron que la advertencia mediana de una inminente divulgación de vulnerabilidad llegó nueve días antes de que el proveedor objetivo emitiera una alerta pública a sus clientes.

«Prácticamente cada vez que vemos picos a gran escala en la actividad de reconocimiento e inventario en busca de un determinado dispositivo, es porque alguien conoce una vulnerabilidad», dijo a CyberScoop Andrew Morris, fundador y arquitecto jefe de GreyNoise.

«En unos pocos días o semanas, generalmente dentro del cronograma de divulgación responsable, surge una nueva vulnerabilidad muy grave», añadió.

GreyNoise insiste en que cada día de aviso previo es importante, brindando a los defensores la oportunidad de defenderse y frustrar posibles ataques antes de que ocurran.

La plataforma de escaneo del borde de la red en tiempo real detectó 104 aumentos de actividad distintos en 18 proveedores durante el período de estudio. Estos sistemas integrados, incluidos enrutadores, VPN, firewalls y otros sistemas de seguridad, representan sistemáticamente las vulnerabilidades más comúnmente explotadas.

«A los atacantes les encanta piratear dispositivos de seguridad como los dispositivos de seguridad. La ironía de esto no se me escapa en absoluto», dijo Morris.

«La situación no ha empeorado lo suficiente como para que empecemos a tomarnos en serio la seguridad de estos dispositivos», añadió. «No es tan malo que nos lo tomemos lo suficientemente en serio como para empezar a eliminar estas cosas y reemplazarlas con nuevos dispositivos o nuevos proveedores».

GreyNoise vinculó el tráfico a un enjambre de vulnerabilidades reveladas por proveedores de todo el mercado, incluidos Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear y otros.

«Se está volviendo científicamente empírico y se parece más a la meteorología que al misticismo», dijo Morris. “Ahora esto funciona como un reloj”.

GreyNoise descompone estas oleadas de tráfico para medir la intensidad y la amplitud. Los recuentos de sesiones indican con qué fuerza las fuentes existentes están afectando a un proveedor específico y los recuentos de IP de fuentes únicas demuestran cuán ampliamente se está uniendo nueva infraestructura a la actividad, escribieron los investigadores en el informe.

«Cuando tanto la intensidad como la amplitud de los ataques aumentan simultáneamente, indica una escalada coordinada», dice el informe.

«Cuando vea un pico de sesión contra uno de sus proveedores y nuevas IP de origen que se unen al mismo tiempo, trátelo como una razón de alta confianza para mirar más detenidamente. Cuando vea solo un pico de IP, no asuma que se avecina una vulnerabilidad», agregaron los investigadores.

El estudio refuerza otras investigaciones de Verizon, Google Threat Intelligence Group y Mandiant, que aterrizan durante lo que GreyNoise llama «el período más agresivo de explotación de dispositivos de borde registrado».

Según Morris, esta actividad no ocurre en el vacío y los grupos de amenazas no están inundando los dispositivos de vanguardia con tráfico de forma gratuita o por diversión.

«La gente tiende a tratar el ruido de fondo de Internet como si fuera un fenómeno inexplicable», dijo. «Claramente están intentando probar la existencia de una vulnerabilidad para comprometer los sistemas».