19/01/23
В рамках пресс-конференции, посвященной подведению итогов 2022 года, эксперты Positive Technologies представили топ уязвимостей, ставших наиболее популярными среди злоумышленников в прошлом году, и рассказали, какие уязвимости будут представлять наибольшую ценность среди злоумышленников в 2023 году.
Отрицательный рекорд
В 2022 году установлен отрицательный рекорд: по данным NIST, было верифицировано более 25 тысяч новых уязвимостей, обнаруженных исследователями безопасности. Уязвимостям были присвоены идентификаторы и уровни опасности согласно международному стандарту CVE. Рост числа стартапов и выпускаемых ими программ, а также несоблюдение принципов безопасной разработки могут привести к тому, что в 2023 году будет установлен новый антирекорд.
«Почти 70 уязвимостей в день — это много. В России этот показатель усугубляется еще и тем, что иностранные IT-компании ушли из страны и прекратили поставлять новые версии и обновления своего ПО, оставив отечественные предприятия беззащитными, что, в свою очередь, поднимает вопрос о выстраивании результативной стратегии управления уязвимостями как в проприетарном ПО, так и в используемых компонентах с открытым исходным кодом, причем не только в веб-приложениях, но и в программах собственной разработки», — комментирует Вадим Соловьев, руководитель группы анализа угроз ИБ, Positive Technologies.
К числу популярных уязвимостей в 2022 году, о которых много говорили в кругах специалистов по ИБ, относились:
- Log4j (CVE-2021-44228),
- ProxyNotShell (CVE-2022-41040),
- Spring4Shell (CVE-2022-22965),
- Atlassian Confluence (CVE-2022-26134, CVE-2022-26138),
- Zimbra RCE (CVE-2022-27925, CVE-2022-41352),
- Follina web framework Ruby on Rails (CVE-2022-30190),
- F5 BIG-IP (CVE-2022-1388).
Наиболее опасные уязвимости, которые чаще всего обсуждали в дарквебе:
Отдельного внимания заслуживает серьезная уязвимость CVE-2022-30190, известная как Follina, в Microsoft Windows Support Diagnostic Tool (MSDT). Она может быть проэксплуатирована при помощи вредоносного офисного документа и позволяет злоумышленникам выполнить произвольный код.
По данным PT Expert Security Center, в числе уязвимостей, которые наиболее активно использовались для проникновения в инфраструктуру в 2022 году, были бреши в серверах Microsoft Exchange, Log4Shell, ProxyNotShell и ProxyShell.
Прогнозы на 2023 год
В 2023 году эксперты Positive Technologies прогнозируют, что уязвимости Log4Shell, Spring4Shell и подобные им еще долго будут оставаться угрозой, так как системы, использующие уязвимое ПО, широко распространены. Кроме того, в этом году мир вновь увидит атаки на Microsoft Exchange как через новые уязвимости, так и через старые, которые пользователи все еще не устранили с помощью обновлений безопасности. «Оперативно устранять уязвимости поможет построение процесса vulnerability management. Необходима регулярная проверка покрытия патч-менеджментом IT-инфраструктуры, а также применение проактивного подхода в устранении уязвимостей — когда IT-подразделение регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. Специалисты по ИБ, в свою очередь, проверяют соблюдение договоренностей и контролируют процесс устранения уязвимостей. Также не стоит забывать про устранение трендовых уязвимостей, которые, как правило, выбиваются из планового процесса патч-менеджмента, но именно они представляют высокую угрозу для компаний», — говорит Антон Исаев, ведущий специалист отдела развития и продвижения инженерно-технической экспертизы, Positive Technologies.
Наибольшую ценность для злоумышленников будут представлять уязвимости в браузерах, поскольку через них можно проводить массовые атаки на посетителей конкретных ресурсов, и уязвимости в популярных фреймворках, которые активно используются, в том числе в инфраструктуре крупных компаний. Отдельно стоит отметить окончание поддержки Windows 8.1 с 10 января 2023 года. Для этой операционной системы перестанут приходить обновления безопасности, поэтому в случае выявления уязвимостей в базовых механизмах ОС семейства Windows пользователи старых версий ОС (в том числе Windows 8.1) окажутся незащищены.
Неизвестные разработчикам уязвимости
Проблемы, связанные с уходом зарубежных производителей ПО, отсутствием обновлений безопасности и нарушением привычных цепочек поставок ПО, продолжат оказывать влияние на информационную безопасность компаний в 2023 году. Разрыв связей между разработчиками и исследователями безопасности из разных стран приведет к тому, что в ПО будет значительно больше уязвимостей, о которых не знают разработчики, но которые могут быть выявлены злоумышленниками. Необходимость выстраивать новые цепочки поставок ПО и интегрировать в инфраструктуру новые решения, безопасность которых может быть под вопросом, также будет оказывать негативный эффект на уровень защищенности организаций.
«В условиях отсутствия своевременного обновления ПО особенно важно выстраивать полноценный процесс управления уязвимостями. Именно он позволит своевременно определять критически опасные уязвимости, предпринимать компенсирующие меры и грамотно выстраивать взаимодействие между IT-подразделениями и специалистами по ИБ для минимизации рисков и защиты инфраструктуры», — комментирует Анна Цыбина, менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies.
