<p><strong>Год от года количество уязвимостей растет: в 2020 году в базе данных <a href="https://nvd.nist.gov/">National Vulnerability Database</a> опубликовано более 18 тысяч уязвимостей, в 2021-м - свыше 20 тысяч, а в 2022-м - свыше 25 тысяч. Каждый день в среднем обнаруживается более 60 уязвимостей. Часть из них злоумышленники сразу же берут в оборот. Уязвимости, которые киберпреступники уже широко используют или могут начать массово использовать в ближайшее время, называют трендовыми. В чем опасность таких брешей? И почему их нужно устранять как можно скорее?</strong></p> <h3>%left-img_r250-1%Трендовая уязвимость сокращает время взлома</h3> <p>По оценкам наших экспертов, если на сетевом периметре компании присутствует трендовая уязвимость с публичным эксплойтом<strong><sup>1</sup></strong>, то <a href="https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-trendovaya-uyazvimost-sokrashchaet-vremya-na-vzlom-kompanii-do-45-minut/?sphrase_id=136166">на проникновение</a> в сеть злоумышленнику понадобится около 45 минут. В этом случае киберпреступнику не нужны ни особые навыки в проведении анализа защищенности, ни навыки программирования. Если эксплойтов для найденных уязвимостей нет, то задача преступника усложняется. Когда на периметре отсутствуют известные уязвимости, планка требований к квалификации нарушителя повышается: в этом случае на поиск и эксплуатацию уязвимости нулевого дня ему могут понадобиться дни, а то и месяцы.</p> <p>Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу безопасность практически любой компании. По результатам пилотных проектов MaxPatrol VM, проведенных в крупных российских компаниях в 2022 году, в 100% участвовавших в исследовании организаций <a href="https://www.ptsecurity.com/ru-ru/about/news/positive-technologies-v-100-issledovannyh-kompanij-obnaruzheny-nezakrytye-trendovye-uyazvimosti/">были обнаружены</a> трендовые уязвимости. Более того, в каждой организации трендовые уязвимости содержались на активах высокой степени значимости, что представляет большую угрозу для компании. Нарушитель, обладающий базовыми навыками и бесплатным эксплойтом, способен взломать, к примеру, промышленную компанию с оборотом более 500 млн рублей или финансовую организацию, чистая прибыль которой превышает 8 млрд рублей.</p> <h3>Инвестиции в эксплойт быстро окупаются</h3> <p>Если для уязвимости появляется публичный эксплойт, то вероятность ее скорого применения в атаках повышается. По оценкам наших экспертов, готовый эксплойт существует для большинства трендовых уязвимостей. Причем он может быть абсолютно бесплатным. Яркий пример брешей с публичным эксплойтом - уязвимости ProxyShell: <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473">CVE-2021-34473</a>, <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523">CVE-2021-34523</a>, <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31207">CVE-2021-31207</a>. Воспользовавшись цепочкой этих уязвимостей, злоумышленники могли установить в инфраструктуре жертвы вредоносное ПО для удаленного управления. Таким образом можно было распространить программу-вымогатель и потребовать выкуп, украсть крупную сумму со счета компании или незаметно шпионить за сотрудниками компании, включая ее руководителей.</p> <p>Если общедоступного эксплойта пока нет, злоумышленник может приобрести готовое решение в дарквебе. Еще один повод обратиться к продавцам эксплойтов - приобрести "бесшумный" инструмент, в котором предусмотрены функции обхода средств защиты. Например, эксплойт для уязвимости <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-24086">CVE-2022-24086</a> в платформе электронной коммерции Magento 2, который продается в дарквебе за внушительные $25 тысяч. Однако такие затраты преступника могут быстро окупиться, учитывая распространенность этой платформы и отсутствие технической поддержки. Воспользовавшись этой брешью, преступники могут, например, распространять вредоносное ПО, размещая его на сайте, или проводить Magecart-атаки, чтобы похищать данные банковских карт.</p> <p>В этом случае злоумышленник отобьет стоимость атаки еще на первой жертве, особенно если речь идет про операторов программ-вымогателей. <a href="https://www.paloaltonetworks.com/blog/2022/06/average-ransomware-payment-update/">По данным</a> Palo Alto, за первые пять месяцев 2022 года средняя сумма выкупа вымогателей составляет $925 162. Чем крупнее жертва, тем больше возможная прибыль, поэтому на дорогостоящий эксплойт киберпреступники не поскупятся.</p> <h3>Опасность в офисных файлах</h3> <p>Опасность для компании могут представлять и стандартные офисные файлы. Злоумышленники проникают в сеть из-за невысокого уровня киберграмотности пользователей, плохо настроенных спам-фильтров и отсутствия песочниц (Sandbox).</p> <p>В 2022 году одной из самых громких стала уязвимость <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190">CVE-2022-30190</a> (Follina), которой присвоен высокий уровень опасности. Злоумышленнику достаточно было прислать зараженный файл и убедить пользователя открыть его. В самом файле содержалась ссылка на внешний вредоносный OLE-объект<strong><sup>2</sup></strong>. При открытии этого файла в командной строке пользователя через MSDT<strong><sup>3</sup></strong> запускался вредоносный код. Примечательно, что код запускался даже в случае открытия документа в режиме защищенного просмотра с отключенными макросами. После этого злоумышленник мог получить привилегии пользователя и, к примеру, устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи, если привилегии это позволяли. Уязвимость <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30190">CVE-2022-30190</a> могла эксплуатироваться во всех операционных системах семейства Windows, как обычных, так и серверных.</p> <h3>Нет времени объяснять - действуй!</h3> <p>Эксплуатировать трендовые уязвимости злоумышленники начинают уже в первые часы после появления эксплойта. При этом никто не знает, кто станет следующей жертвой. В среднем, по нашим данным, на разработку эксплойта злоумышленнику требуется 24 часа.</p> <p>В декабре 2021 года в библиотеке Apache Log4j обнаружена уязвимость <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2021-44228">CVE-2021-44228</a>, получившая название <a href="https://logging.apache.org/log4j/2.x/security.html" target="_blank">Log4Shell</a>, которая затронула миллионы устройств по всему миру. О выявлении этой бреши в своих продуктах заявили такие облачные сервисы, как Steam, Apple iCloud, а также крупные компании: Cisco, CloudFlare, FedEx, GitHub, IBM и <a href="https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592">другие</a>. <a href="https://assets.kpmg/content/dam/kpmg/kz/pdf/2021/log4shell.pdf">По данным KPMG</a>, на третий день киберпандемии зафиксировано пиковое количество попыток атак - более 27 тысяч в минуту. Очень быстро ее взяли на вооружение злоумышленники, распространяющие троян Dridex и программу-вымогатель Conti.</p> <p>Эксперты назвали Log4Shell самой серьезной уязвимостью последних лет, а для описания ситуации в ИT-мире после ее открытия использовали термин "киберпандемия". Спустя год эта уязвимость все еще представляет собой опасность для многих компаний.</p> <h3>Выводы</h3> <p>В случае наличия уязвимости для взлома крупной компании злоумышленникам не потребуется много времени, а приобретение эксплойта может окупиться уже после первых успешных атак. Защититься от атак с использованием трендовых и иных уязвимостей позволит <a href="https://www.ptsecurity.com/ru-ru/research/analytics/vulnerability-management-instructions-for-use/">грамотно выстроенный процесс управления уязвимостями</a>, а всю сложную работу возьмут на себя такие решения, как система управления уязвимостями <a href="https://www.ptsecurity.com/ru-ru/products/mp-vm/">MaxPatrol VM</a>. В этом продукте собрана вся наша экспертиза в области vulnerability management. Он позволяет не только вовремя выявлять опасные уязвимости, но и приоритизировать их. MaxPatrol VM поможет выстроить полноценный процесс управления уязвимостями в компании и минимизировать риски проникновения злоумышленника. Наши эксперты следят за своевременным пополнением базы трендовых уязвимостей, чтобы инфраструктура компаний всегда была под надежной защитой.</p> <div> <div id="ftn1"> <p><em><sup>1 </sup>Эксплойт (англ. exploit, эксплуатировать) - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак на различные системы.</em></p> </div> <div id="ftn2"> <p><em><sup>2 </sup>OLE-объект - объект, добавленный посредством технологии связывания и внедрения объектов в другие документы и объекты.</em></p> </div> <div id="ftn3"> <p><em><sup>3</sup> MSDT - <a href="https://habr.com/ru/company/pm/blog/675098/">Microsoft Support Diagnostic Tool.</a></em></p> </div> </div>