Positive Technologies: уязвимости в тренде

Год от года количество уязвимостей растет: в 2020 году в базе данных National Vulnerability Database опубликовано более 18 тысяч уязвимостей, в 2021-м - свыше 20 тысяч, а в 2022-м - свыше 25 тысяч. Каждый день в среднем обнаруживается более 60 уязвимостей. Часть из них злоумышленники сразу же берут в оборот. Уязвимости, которые киберпреступники уже широко используют или могут начать массово использовать в ближайшее время, называют трендовыми. В чем опасность таких брешей? И почему их нужно устранять как можно скорее?

Яна Юракова, аналитик исследовательской группы Positive Technologies Трендовая уязвимость сокращает время взлома

По оценкам наших экспертов, если на сетевом периметре компании присутствует трендовая уязвимость с публичным эксплойтом¹, то на проникновение в сеть злоумышленнику понадобится около 45 минут. В этом случае киберпреступнику не нужны ни особые навыки в проведении анализа защищенности, ни навыки программирования. Если эксплойтов для найденных уязвимостей нет, то задача преступника усложняется. Когда на периметре отсутствуют известные уязвимости, планка требований к квалификации нарушителя повышается: в этом случае на поиск и эксплуатацию уязвимости нулевого дня ему могут понадобиться дни, а то и месяцы.

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу безопасность практически любой компании. По результатам пилотных проектов MaxPatrol VM, проведенных в крупных российских компаниях в 2022 году, в 100% участвовавших в исследовании организаций были обнаружены трендовые уязвимости. Более того, в каждой организации трендовые уязвимости содержались на активах высокой степени значимости, что представляет большую угрозу для компании. Нарушитель, обладающий базовыми навыками и бесплатным эксплойтом, способен взломать, к примеру, промышленную компанию с оборотом более 500 млн рублей или финансовую организацию, чистая прибыль которой превышает 8 млрд рублей.

Инвестиции в эксплойт быстро окупаются

Если для уязвимости появляется публичный эксплойт, то вероятность ее скорого применения в атаках повышается. По оценкам наших экспертов, готовый эксплойт существует для большинства трендовых уязвимостей. Причем он может быть абсолютно бесплатным. Яркий пример брешей с публичным эксплойтом - уязвимости ProxyShell: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207. Воспользовавшись цепочкой этих уязвимостей, злоумышленники могли установить в инфраструктуре жертвы вредоносное ПО для удаленного управления. Таким образом можно было распространить программу-вымогатель и потребовать выкуп, украсть крупную сумму со счета компании или незаметно шпионить за сотрудниками компании, включая ее руководителей.

Если общедоступного эксплойта пока нет, злоумышленник может приобрести готовое решение в дарквебе. Еще один повод обратиться к продавцам эксплойтов - приобрести "бесшумный" инструмент, в котором предусмотрены функции обхода средств защиты. Например, эксплойт для уязвимости CVE-2022-24086 в платформе электронной коммерции Magento 2, который продается в дарквебе за внушительные $25 тысяч. Однако такие затраты преступника могут быстро окупиться, учитывая распространенность этой платформы и отсутствие технической поддержки. Воспользовавшись этой брешью, преступники могут, например, распространять вредоносное ПО, размещая его на сайте, или проводить Magecart-атаки, чтобы похищать данные банковских карт.

В этом случае злоумышленник отобьет стоимость атаки еще на первой жертве, особенно если речь идет про операторов программ-вымогателей. По данным Palo Alto, за первые пять месяцев 2022 года средняя сумма выкупа вымогателей составляет $925 162. Чем крупнее жертва, тем больше возможная прибыль, поэтому на дорогостоящий эксплойт киберпреступники не поскупятся.

Опасность в офисных файлах

Опасность для компании могут представлять и стандартные офисные файлы. Злоумышленники проникают в сеть из-за невысокого уровня киберграмотности пользователей, плохо настроенных спам-фильтров и отсутствия песочниц (Sandbox).

В 2022 году одной из самых громких стала уязвимость CVE-2022-30190 (Follina), которой присвоен высокий уровень опасности. Злоумышленнику достаточно было прислать зараженный файл и убедить пользователя открыть его. В самом файле содержалась ссылка на внешний вредоносный OLE-объект². При открытии этого файла в командной строке пользователя через MSDT³ запускался вредоносный код. Примечательно, что код запускался даже в случае открытия документа в режиме защищенного просмотра с отключенными макросами. После этого злоумышленник мог получить привилегии пользователя и, к примеру, устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи, если привилегии это позволяли. Уязвимость CVE-2022-30190 могла эксплуатироваться во всех операционных системах семейства Windows, как обычных, так и серверных.

Нет времени объяснять - действуй!

Эксплуатировать трендовые уязвимости злоумышленники начинают уже в первые часы после появления эксплойта. При этом никто не знает, кто станет следующей жертвой. В среднем, по нашим данным, на разработку эксплойта злоумышленнику требуется 24 часа.

В декабре 2021 года в библиотеке Apache Log4j обнаружена уязвимость CVE-2021-44228, получившая название Log4Shell, которая затронула миллионы устройств по всему миру. О выявлении этой бреши в своих продуктах заявили такие облачные сервисы, как Steam, Apple iCloud, а также крупные компании: Cisco, CloudFlare, FedEx, GitHub, IBM и другие. По данным KPMG, на третий день киберпандемии зафиксировано пиковое количество попыток атак - более 27 тысяч в минуту. Очень быстро ее взяли на вооружение злоумышленники, распространяющие троян Dridex и программу-вымогатель Conti.

Эксперты назвали Log4Shell самой серьезной уязвимостью последних лет, а для описания ситуации в ИT-мире после ее открытия использовали термин "киберпандемия". Спустя год эта уязвимость все еще представляет собой опасность для многих компаний.

Выводы

В случае наличия уязвимости для взлома крупной компании злоумышленникам не потребуется много времени, а приобретение эксплойта может окупиться уже после первых успешных атак. Защититься от атак с использованием трендовых и иных уязвимостей позволит грамотно выстроенный процесс управления уязвимостями, а всю сложную работу возьмут на себя такие решения, как система управления уязвимостями MaxPatrol VM. В этом продукте собрана вся наша экспертиза в области vulnerability management. Он позволяет не только вовремя выявлять опасные уязвимости, но и приоритизировать их. MaxPatrol VM поможет выстроить полноценный процесс управления уязвимостями в компании и минимизировать риски проникновения злоумышленника. Наши эксперты следят за своевременным пополнением базы трендовых уязвимостей, чтобы инфраструктура компаний всегда была под надежной защитой.