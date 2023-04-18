O ano de 2022 foi um ano recorde para ataques a aplicativos e APIs e teve uma batalha contínua com vulnerabilidades de dia zero. No final de 2021, logo no início do Log4Shell, as organizações se encontraram na mira de vulnerabilidades significativas adicionais: a vulnerabilidade Atlassian Confluence, ProxyNotShell e Spring4Shell.

Também vimos tendências emergentes de malware (como SSTIs e injeção de código do lado do servidor) que representam sérias ameaças comerciais, pois elas podem levar à execução remota de código e à extração de dados. Além disso, houve um surto nos ataques SSRF: Observamos uma média diária de 14 milhões de tentativas de SSRF contra os aplicativos da Web e APIs de nossos clientes que poderiam permitir o acesso a recursos internos.

Vulnerabilidades de dia zero em software de código-fonte aberto estão se tornando predominantes, juntamente com as técnicas STI que permitem a execução remota de código. Também vemos os agentes de ameaça aproveitarem os shells da Web em campanhas avançadas de ameaças persistentes e contrabando de solicitações HTTP.