Zpráva Data Breach Investigations Report (DBIR) z roku 2025 odhaluje, že zneužití zranitelnosti bylo přítomno u 20% narušení – což představuje 34% meziroční nárůst. Na podporu zprávy přispěl Tenable Research obohacenými daty o nejvíce využívaných zranitelnostech. V tomto článku analyzujeme 17 CVE souvisejících s hranami a trendy sanace napříč průmyslovými sektory.
Pozadí Data Breach Investigations Report
Od roku 2008 pomáhá výroční zpráva Verizon 2025 Data Breach Investigations Report (DBIR) organizacím porozumět vyvíjejícím se kybernetickým hrozbám. Pro vydání z roku 2025 přispěl Tenable Research obohacenými daty o nejvyužívanějších zranitelnostech minulého roku. Analyzovali více než 160 milionů datových bodů a vynulovali na 17 okrajových zařízeních CVE uvedených v DBIR, abychom pochopili jejich průměrné doby nápravy. V tomto článku se na tyto zranitelnosti podíváme blíže, odhalíme trendy specifické pro dané odvětví a zdůrazníme, kde záplatování stále zaostává – často o měsíce.
V letošním DBIR byly zranitelnosti ve virtuálních privátních sítích (VPN) a okrajových zařízeních zvláštními oblastmi zájmu, přičemž v letošní zprávě představovaly 22% porušení souvisejících s CVE, což je téměř osmkrát více než 3% zjištěné ve zprávě z roku 2024.
Analýza Data Breach Investigations Report
DBIR z roku 2025 zjistil, že zneužívání zranitelností se stalo jedním z hlavních počátečních přístupových vektorů pro 20% úniků dat. To představuje 34% nárůst oproti loňské zprávě a je částečně způsobeno zneužíváním zranitelností VPN a okrajových zařízení – tříd aktiv, které tradiční dodavatelé detekce a odezvy koncových bodů (EDR) mají problém efektivně vyhodnotit. DBIR věnuje zvláštní pozornost 17 CVE ovlivňujícím tato okrajová zařízení, která zůstávají cennými cíli pro útočníky. Tenable Research analyzoval těchto 17 CVE a vyhodnotil, která odvětví měla nejlepší a nejhorší míru nápravy v rámci zranitelností. Níže uvedená tabulka poskytuje jako základ tento seznam CVE a podrobnosti pro každou z nich, včetně jejich skóre Common Vulnerability Scoring System (CVSS) a hodnocení priority udržitelné zranitelnosti (VPR). Stojí za zmínku, že každé z těchto CVE bylo v roce 2024 přidáno na seznam známých zneužitých zranitelností (KEV) americké agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
| CVE | Popis | CVSSv3 | VPR | Udržitelný blog |
|---|---|---|---|---|
| CVE-2024-20359 | Chyba zabezpečení trvalého spuštění místního kódu Cisco ASA a FTD Software | 6.0 | 6.7 | CVE-2024-20353, CVE-2024-20359: Často kladené otázky o ArcaneDoor |
| CVE-2023-6548 | Chyba zabezpečení Citrix NetScaler ADC a Gateway Authenticated Remote Code Execution (RCE) | 8.8 | 7.4 | CVE-2023-6548, CVE-2023-6549: Zero-Day zranitelnosti využívané v Citrix NetScaler ADC a NetScaler Gateway |
| CVE-2023-6549 | Citrix NetScaler ADC a zranitelnost Gateway Denial of Service | 7.5 | 5.1 | |
| CVE-2023-48788 | Chyba zabezpečení vkládání SQL serveru FortiClient Enterprise Management Server (FortiClientEMS). | 9.8 | 9.4 | CVE-2023-48788: Kritická chyba zabezpečení Fortinet FortiClientEMS SQL Injection |
| CVE-2024-21762 | Chyba zabezpečení Fortinet FortiOS mimo rámec zápisu v sslvpnd | 9.8 | 7.4 | CVE-2024-21762: Kritická chyba zabezpečení Fortinet FortiOS s mimosmluvním zápisem SSL VPN |
| CVE-2024-23113 | Chyba zabezpečení Fortinet FortiOS Fort String | 9.8 | 7.4 | |
| CVE-2024-47575 | Chybějící ověření FortiManageru ve zranitelnosti fgfmsd (FortiJump) | 9.8 | 9.6 | CVE-2024-47575: Často kladené otázky o FortiJump Zero-Day ve FortiManager a FortiManager Cloud |
| CVE-2023-46805 | Ivanti Connect Secure a Ivanti Policy Secure Authentication obcházejí zranitelnost | 8.2 | 6.7 | CVE-2023-46805, CVE-2024-21887: Zero-Day zranitelnosti využívané v Ivanti Connect Secure and Policy Secure Gateways |
| CVE-2024-21887 | Zranitelnost zabezpečení Ivanti Connect Secure a Ivanti Policy Secure Command Injection | 9.1 | 9.8 | |
| CVE-2024-21893 | Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons pro zranitelnost ZTA Server-Side Request Forgery (SSRF) | 8.2 | 7.2 | CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 a CVE-2024-21893: Nejčastější dotazy k chybám zabezpečení v Ivanti Connect Secure and Policy Secure Gateways |
| CVE-2023-36844 | Juniper Networks Junos OS PHP zranitelnost modifikace externí proměnné | 5.3 | 2.9 | Exploit Chain Targets Unpatched Juniper EX Switche a SRX Firewally |
| CVE-2023-36845 | Juniper Networks Junos OS PHP zranitelnost modifikace externí proměnné | 9.8 | 8.4 | |
| CVE-2023-36846 | Chybějící chyba zabezpečení operačního systému Juniper Networks Junos OS | 5.3 | 2.9 | |
| CVE-2023-36847 | Chybějící chyba zabezpečení operačního systému Juniper Networks Junos OS | 5.3 | 2.9 | |
| CVE-2023-36851 | Chybějící chyba zabezpečení operačního systému Juniper Networks Junos OS | 5.3 | 2.9 | |
| CVE-2024-3400 | Chyba zabezpečení vkládání příkazů ve funkci GlobalProtect Gateway systému PAN-OS | 10,0 | 10 | CVE-2024-3400: Zero-Day zranitelnost v Palo Alto Networks PAN-OS GlobalProtect Gateway využívaná ve volné přírodě |
| CVE-2024-40766 | SonicWall SonicOS Management Access a zranitelnost nesprávného řízení přístupu SSLVPN | 9.8 | 7.4 |
*Upozornění: Skóre Tenable’s Vulnerability Priority Rating (VPR) se počítají každou noc. Tento blogový příspěvek byl publikován 23. dubna 2025 a odráží VPR v té době.
Tenable Research analyzuje trendy sanace Edge CVE
Těchto 17 CVE zařízení pro okrajové zařízení, které se objevuje na předním místě v DBIR, bylo dále analyzováno společností Tenable Research a jsou uspořádány podle dodavatele, přičemž každý graf níže obsahuje CVE opravené ve stejném vydání opravy. Abychom porozuměli úsilí o nápravu z telemetrických dat společnosti Tenable, analyzovali průměrnou dobu ve dnech pro nápravu těchto zranitelností. Níže uvedené grafy zdůrazňují tři průmyslová odvětví, která měla nejkratší průměrnou dobu na nápravu každé zranitelnosti, a také tři sektory, kterým náprava trvala nejdelší dobu.
Cisco
CVE-2024-20359 byla v dubnu 2024 zvýrazněna společností Cisco Talos jako jedna ze dvou známých zranitelností, kterou zneužívá pokročilá perzistentní hrozba (APT) označená jako UAT4356 od Talos a STORM-1849 od Microsoft Threat Intelligence Center. Chyba byla použita jako součást špionážní kampaně známé jako ArcaneDoor. Z analýzy zjistili, že nejdelší průměrnou dobu nápravy této zranitelnosti měly odvětví vzdělávání, energetiky a veřejných služeb a lodní a dopravní průmysl. CVE-2024-20359 byl přidán na seznam CISA KEV dne 24. dubna 2024; ve stejný den, kdy společnost Cisco Talos zveřejnila svůj výzkum na ArcaneDoor. Tento dodatek KEV měl splatnost sedm dní pro agentury federální civilní výkonné složky (FCEB), které jsou nařízeny závaznou provozní směrnicí (BOD) 22-01. Navzdory tomuto krátkému opravnému oknu vidíme, že vládní sektor měl překvapivě vysokou průměrnou míru sanace 116 dní. I když je to daleko mimo termín splatnosti KEV, vláda byla jedním ze tří odvětví s nejrychlejší průměrnou mírou nápravy.
Zdroj: Tenable Research, duben 2025
Citrix
CVE-2023-6548 a CVE-2023-6549 jsou dvojice zranitelností zero-day, které byly zneužity proti zařízení Citrix NetScaler Application Delivery Controller (ADC) a NetScaler Gateway. Tyto chyby zabezpečení byly opraveny počátkem ledna 2024, jen několik měsíců poté, co Citrix řešil CVE-2023-4966, kritickou chybu v zařízeních NetScaler nazvanou „CitrixBleed“, kterou široce zneužili nejrůznější útočníci. Zatímco zařízení Citrix i nadále zůstávají pro útočníky cílem vysoké hodnoty, míra nápravy, a to i mezi třemi odvětvími s nejkratší průměrnou mírou nápravy, je mnohem vyšší, než očekávali. Nejnižší průměrná pozorovaná četnost oprav byla 160 dní pro poradenský průmysl.
Zdroj: Tenable Research, duben 2025
Fortinet
CVE-2024-21762 a CVE-2024-23113 jsou dvě kritická zranitelnosti ovlivňující síťový operační systém FortiOS společnosti Fortinet. V době, kdy bylo zveřejněno upozornění Fortinet pro tyto zranitelnosti, byl CVE-2024-21762 uveden jako „potenciálně využívaný ve volné přírodě“. Jen o den později jej CISA přidala na seznam KEV. Podobně jako u výše uvedených zranitelností Citrixu se průměrná doba nápravy těchto zranitelností pohybovala od 172 dnů na nižší úrovni až po více než 260 dní na vyšší úrovni. Odvětví poradenství mělo nejdelší průměrnou míru nápravy, zatímco sektor softwaru, internetu a technologií měl nejkratší, 172 dní.
Zdroj: Tenable Research, duben 2025
V ostrém kontrastu k výše uvedeným Fortinet CVE je CVE-2023-48788, kritická zranitelnost SQL injection ovlivňující FortiClient Enterprise Management Server (FortiClientEMS). Sektor komunikací a telekomunikací vedl s průměrnou mírou nápravy pouhých 12 dní, přičemž zdravotní péče byla vzdálená sekunda, s průměrem 71 dní na nápravu chyby.
Zdroj: Tenable Research, duben 2025
Podobně jako u CVE-2023-48788, CVE-2024-47575 se zdá, že organizace naléhavě řešily chybějící zranitelnost ověřování ve FortiManageru s názvem „FortiJump“. Analýza odhalila, že má nejnižší průměrné míry sanace ze 17 CVE, které zkoumali. Doba nápravy byla v průměru týden, a to i pro nejpomalejší průmyslová odvětví.
Zdroj: Tenable Research, duben 2025
Ivanti
Během posledních pěti let byly Connect Secure a Policy Secure společnosti Ivanti terčem různých aktérů hrozeb včetně ransomwarových skupin a dalších aktérů hrozeb spojených s národními státy. Není překvapením, že CVE-2023-46805 a CVE-2024-21887 byly údajně zneužity aktéry hrozeb v řetězených útocích k dosažení RCE. Tyto chyby byly navíc využity jako zero-days. Z analýzy vyplývá, že i tomu nejrychlejšímu průmyslovému odvětví trvalo nápravu těchto nedostatků více než 260 dní, přičemž nejvyšší průměr je pouhých 300 dní.
Zdroj: Tenable Research, duben 2025
Jen několik týdnů poté, co byly vydány opravy pro CVE-2023-46805 a CVE-2024-21887, vydala společnost Ivanti nové doporučení s dalšími CVE, včetně CVE-2024-21893. Zatímco se zpočátku věřilo, že CVE-2024-21893 bylo zneužito pouze v omezených útocích, Shadowserver hlásil velký nárůst aktivity zneužití hodin před vydáním veřejného proof-of-concept (PoC). Je zajímavé, že tato zranitelnost zaznamenala různé míry sanace, přičemž biotechnologický a chemický sektor byl nejrychleji opravitelný s průměrem devíti dnů na nápravu.
Zdroj: Tenable Research, duben 2025
Juniper Networks
Dále zkoumali pět CVE od Juniper Networks (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847 a CVE-2023-36851) ovlivňující Junos OS. Tyto zranitelnosti byly rychle zneužity při řetězeném útoku jen několik dní poté, co je odhalila společnost Juniper Networks, která vydala své záplaty 17. srpna 2024. Zatímco čtyři z pěti zranitelností měly středně závažné skóre CVSSv3, řetězení těchto nedostatků umožňuje vzdálenému, neověřenému útočníkovi spustit libovolný kód na neopravených zařízeních. Průměrná míra nápravy těchto zranitelností se velmi lišila, přičemž potraviny a nápoje trvaly více než 420 dní a doprava a doprava byly na nízké úrovni s průměrnou dobou nápravy 80 dní.
Zdroj: Tenable Research, duben 2025
Palo Alto Networks
CVE-2024-3400 je kritická zranitelnost vkládání příkazů ovlivňující funkci Palo Alto Networks GlobalProtect Gateway systému PAN-OS, která byla ve volné přírodě zneužita jako zero-day. V datové sadě měl tento CVE menší stopu než ostatní zkoumané, přesto sdílel podobný trend s většinou průmyslových odvětví vyžadujících více než 100 dní na nápravu. Bankovní, finanční a pojišťovací sektor si vedl mnohem lépe s průměrem 45 dnů na odstranění této zranitelnosti.
Zdroj: Tenable Research, duben 2025
SonicWall
Poslední CVE, které zkoumali, byl CVE-2024-40766, kritická zranitelnost nesprávného řízení přístupu v přístupu pro správu SonicWall SonicOS a SSLVPN. Tato chyba byla zneužita skupinami ransomwaru, včetně Fog a Akira, které tuto zranitelnost využily k získání počátečního přístupu k sítím svých obětí. V případě této zranitelnosti SonicWall byly průměrné míry nápravy nízké ve srovnání s ostatními CVE, které zkoumali, přičemž nejpomalejší sektor trval 52 dní (konzultace) a nejrychlejší (inženýrství) v průměru pouze šest dní.
Zdroj: Tenable Research, duben 2025
Závěr
17 CVE, které zkoumali v analýze, i když představují pouze malou část CISA KEV, zahrnují zařízení, která mají zvýšené riziko kvůli jejich umístění v popředí sítě. Navzdory tomu, že se jedná o některé z nejcennějších cílů pro útočníky, zkoumání míry nápravy nám ukazuje, že ve všech odvětvích stále existuje prostor pro zlepšení. Známé a zneužitelné zranitelnosti jsou nadále zneužívány aktéry hrozeb, z nichž mnozí využívají snadno dostupné exploity. Data jsou stále cennější a útočníci i skupiny APT se zaměřili na exploity a zranitelnosti, které jim poskytují a pomáhají udržovat přístup k sítím obětí. Chcete-li snížit riziko a posílit své sítě, doporučujeme zabývat se každým z CVE diskutovaných v tomto příspěvku a také si přečíst Verizon 2025 DBIR, abyste pochopili trendy a taktiky používané aktéry hrozeb. Zabezpečení není jen pro profesionály Infosec – odpovědnost za něj nese každý. Data shromážděná společností Verizon ve spolupráci s Tenable nabízejí cenné poznatky o dnešním prostředí moderních hrozeb a o tom, co můžete udělat pro lepší ochranu sítí, zařízení a lidí, které bráníte.
Identifikace postižených systémů
Seznam Tenable pluginů pro zranitelnosti diskutované na blogu lze nalézt na jednotlivých stránkách CVE pro každý z níže uvedených CVE. Tyto odkazy zobrazí všechny dostupné pluginy pro tyto chyby zabezpečení, včetně nadcházejících Plugins Pipeline.
- CVE-2024-20359
- CVE-2023-6548
- CVE-2023-6549
- CVE-2023-48788
- CVE-2024-21762
- CVE-2024-23113
- CVE-2024-47575
- CVE-2023-46805
- CVE-2024-21887
- CVE-2024-21893
- CVE-2023-36844
- CVE-2023-36845
- CVE-2023-36846
- CVE-2023-36847
- CVE-2023-36851
- CVE-2024-3400
- CVE-2024-40766
Pro další informace nás neváhejte kontaktovat.
Zdroj: Tenable
