01/08/24
Эксплуатация уязвимостей на протяжении пяти лет входит в тройку наиболее популярных методов атак на организации, сообщается в исследовании Positive Technologies[1]. Например, в 2022–2023 годах этот метод использовали для кражи конфиденциальных данных у более 2700 компаний по всему миру с помощью лишь одной определенной уязвимости. В исследовании представлена статистика по уязвимостям, выявленным экспертами PT SWARM, а также результаты анализа сообщений об уязвимостях в дарквебе.
Исследователи Positive Technologies проанализировали более 51 млн сообщений, размещенных на 217 площадках в дарквебе. Наиболее упоминаемыми среди киберпреступников стали уязвимости в WinRAR (CVE-2023-38831), продуктах Fortinet (CVE-2022-40684) и Java-фреймворке Spring Framework (CVE-2022-22965). Пристального внимания также были удостоены уязвимости Linux (CVE-2022-0847) и Microsoft Support Diagnostic Tool (CVE-2022-30190). Злоумышленники обсуждают, как правило, уязвимости с сетевым вектором атаки[2]: доля таких сообщений составила 70%.
«В последние три года эксплуатация уязвимостей пользуется повышенным вниманием злоумышленников: на этот вектор в среднем приходится треть всех успешных кибератак. Для сравнения: в 2019 году эта цифра составляла 18%, а в 2023‑м — 32%. После публикации сведений об обнаруженной критической уязвимости экспериментальный PoC-эксплойт (proof of concept, PoC) становится доступным в среднем через шесть дней. Это, как правило, участок кода, список команд или программа, которые могут применяться в атаке на уязвимую систему. Спустя еще пять дней начинаются обсуждения на специализированных площадках в дарквебе: чем дольше происходит обсуждение, тем выше вероятность разработки „боевых“ эксплойтов, которые будут нацелены на массовое использование в атаках», — отмечает руководитель исследовательской группы Positive Technologies Федор Чунижеков.
Несвоевременное устранение уязвимостей может иметь серьезные последствия для организаций. Так, в мае 2023 года произошел массовый дефейс сайтов в доменных зонах .ru, .рф из-за уязвимости CVE-2022-27228 в «1С-Битрикс». У телекоммуникационной компании Xfinity, вследствие эксплуатации уязвимости CVE-2023-4966, были похищены данные об аккаунтах 36 млн клиентов (включая хеш-суммы паролей, пароли и ответы на секретные вопросы). Ошибку в Microsoft Windows Support Diagnostic Tool (CVE-2022-30190, Follina) взяли на вооружение группировки вымогателей, что привело к массовым атакам с использованием шифровальщиков, а также APT-группировки, применявшие уязвимость в кампаниях по кибершпионажу. В результате эксплуатации критически опасной уязвимости в Progress MOVEit Transfer (CVE-2023-34362) были скомпрометированы конфиденциальные данные более 2700 организаций по всему миру.
Для предотвращения эксплуатации уязвимостей и наступления недопустимых событий необходимо принимать проактивные меры по защите отдельных сервисов и IT-инфраструктуры в целом. Эксперты рекомендуют организациям проводить регулярную инвентаризацию и классификацию активов; учитывать значимость актива, опасность и трендовость уязвимостей при приоритизации; осуществлять регулярный анализ защищенности систем и приложений; отслеживать активность в дарквебе для выявления наиболее актуальных угроз. Определение адекватных сроков устранения уязвимостей и контроль за процессом патчинга — также очень важные шаги.
[1] Исследование «Последствия несвоевременного устранения уязвимостей (2022–2023 гг.)».
[2] Включают в себя уязвимости сетевых протоколов, открытых портов, слабых паролей или отсутствия мер безопасности. Такие уязвимости позволяют злоумышленникам проникнуть в систему через интернет.
