24/12/24
В рамках пресс-конференции, посвященной подведению итогов 2024 года, исследователи Positive Technologies рассказали о главных уязвимостях уходящего года и поделились своими прогнозами на предстоящий период. Эксперты ожидают, что в 2025 году количество выявленных слабых мест в российском ПО продолжит увеличиваться, а совершать атаки на аппаратные решения киберпреступникам будет гораздо сложнее.
За 11 месяцев 2024 года команда PT SWARM (эксперты, исследующие безопасность систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При этом 75 найденных уязвимостей имели высокий или критически высокий уровень опасности: например, эксперты выявили уязвимость CVE-2024-7400 в антивирусе ESET Internet Security.
Всего за 2022–2024 годы исследователи Positive Technologies обнаружили 452 уязвимости нулевого дня. В подавляющем большинстве случаев вендоры выпустили для них пакеты обновлений. В целом от года к году тенденция положительная: за 2024 год стало на 30% больше уязвимостей, которые закрываются в течение 60 дней.
В российском ПО в 2024 году специалистами PT SWARM обнаружено на 39% больше недостатков безопасности, чем в 2023-м (для сравнения: в 2023 году количество выявленных уязвимостей в отечественном ПО составило 12%). При этом 42% выявленных брешей имеют высокий или критически высокий уровень опасности. В первую очередь большое количество найденных недостатков связано с возросшим вниманием к кибербезопасности: компании начали активнее искать уязвимости, привлекать специалистов и проводить аудит ПО. Кроме того, увеличилось число исследователей, которые выявляют проблемы и сообщают о них.
«В связи с тем, что скорость патч-менеджмента увеличивается, злоумышленники будут еще активнее искать и использовать уязвимости нулевого дня, внимательно отслеживать сведения о свежих багах и создавать для них эксплойты. На фоне импортозамещения продолжит расти количество ошибок в отечественных продуктах», — отметила Диана Абдурахманова, руководитель группы координированного раскрытия уязвимостей Positive Technologies.
В 2024 году эксперты Positive Technologies отнесли к трендовым более 70 уязвимостей. Они были обнаружены в операционных системах, прикладном программном обеспечении, системах для резервного копирования, сетевых устройствах и других продуктах; 32 из них касались продуктов Microsoft.
Больше всего трендовых уязвимостей (19) злоумышленники использовали для фишинговых атак. Значительная часть этих уязвимостей (13) представляла угрозу сетевой безопасности организаций и могла позволить злоумышленнику проникнуть в инфраструктуру. Семь трендовых уязвимостей позволили скомпрометировать виртуальную инфраструктуру и бэкапы организаций. Остальные позволяли скомпрометировать ПО, разрабатываемое в компании, а также могли использоваться в атаках на инструменты совместной работы.
«Эксперты Positive Technologies ожидают, что в 2025 году количество трендовых уязвимостей в продуктах Microsoft сохранится примерно на том же уровне, — поделился Александр Леонов, ведущий эксперт PT Expert Security Center. В связи с импортозамещением предполагается уменьшение влияния ошибок в западных сетевых устройствах на российский ИТ-ландшафт. При этом ожидается увеличение числа трендовых уязвимостей в отечественном ПО: его доля на рынке растет и есть много атакующих, заинтересованных в исследовании и эксплуатации недостатков безопасности в нем».
В свою очередь Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies, назвал 2024 год с точки зрения безопасности аппаратного обеспечения годом сложно устранимых и вовсе неустранимых багов, которые затрагивают огромное число пользователей. Он отметил, что найденные слабые места открывают простор для критически опасных атак.
Эксперт выделил в исследовании аппаратной кибербезопасности шесть ключевых событий года, в том числе обнаружение специалистами Positive Technologies уязвимость в GigaDevice GD32. Используя эту уязвимость потенциальный злоумышленник может получить полный доступ к прошивке устройства. Вопрос быстрого устранения этого недостатка остается открытым, поскольку речь идет о сотнях тысяч устройств и, как следствие, о больших дополнительных вложениях в разработку.
По словам Алексея Усанова, почти во все новые микроконтроллеры встраиваются технологии доверенного исполнения кода, что может затруднить потенциальный взлом и анализ большей части устройств. Вместе с тем разработчики продолжают повторять старые ошибки. Например, новые SD-картридеры, как выяснили эксперты, позволяют подключиться к внутренней шине PCI Express ноутбука с помощью очень простого эмулятора SD-карты, предоставляя удобную точку входа для DMA-атак[1].
«Все больше производителей начинают уделять внимание защите своих устройств от атак типа fault injection[2] и side-channel[3]. За последние 5–7 лет оборудование для выполнения таких атак стало относительно недорогим и их количество увеличилось. Теперь очередь за стороной защиты. Мы ожидаем нового раунда противостояния, повышения стоимости подобных атак и ставим на то, что устройства в массе своей станут более защищенными», — поделился своим прогнозом руководитель исследований безопасности аппаратных решений в Positive Technologies.
[1] Атака прямого доступа к памяти (direct memory access, DMA) — это тип атаки, при котором злоумышленник получает доступ к памяти устройства, используя возможности режима обмена данными с периферийным оборудованием без участия центрального процессора.
2 Атака с внедрением ошибок (fault injection) — метод атаки, а также тестирования, заключающийся в анализе реакции системы на создание искусственных сбоев.
3 Атака по сторонним каналам (side-channel) — метод атаки, применяя который злоумышленник не атакует напрямую, а перехватывает побочные сигналы, извлекая из них нужную ему информацию.
