Число ежегодно обнаруживаемых уязвимостей в ПО неуклонно растет и уже приближается к круглой цифре 30 000. Но команде ИБ важно выявить именно те уязвимости, которыми злоумышленники реально пользуются. Изменения в топе «самых популярных» уязвимостей серьезно влияют на приоритеты установки обновлений или принятия компенсирующих мер. Поэтому мы регулярно отслеживаем эту динамику, и вот какие выводы можно сделать из отчета об эксплойтах и уязвимостях за I квартал 2024 года.
Растет критичность и доступность уязвимостей
Благодаря bug bounty и автоматизации, масштабы охоты за уязвимостями значительно выросли. Это приводит к тому, что уязвимости обнаруживаются чаще, а там, где исследователям удалось найти интересную поверхность атаки, следом за первой выявленной уязвимостью нередко обнаруживаются целые серии других, как мы это видели недавно с решениями Ivanti. 2023 год стал рекордным за 5 лет по числу найденных критических уязвимостей. Одновременно растет и доступность уязвимостей широкому кругу атакующих и защитников — для более чем 12% обнаруженных уязвимостей оперативно появился публично доступный код, демонстрирующий возможность эксплуатации (proof of concept, PoC). В первом квартале 2024 года доля критических уязвимостей также остается высокой.
Эксплуатация на Linux кратно выросла
Хотя миф о том, что «никто не атакует Linux», уже развеян, многие специалисты до сих пор недооценивают масштаб Linux-угроз. За год число эксплуатируемых CVE в Linux и популярных Linux-приложениях выросло более чем в 3 раза. Львиная доля попыток эксплуатации приходится на серверы, а также различные устройства, основанные на *nix-системах, например межсетевые экраны и VPN.
Ярким примером интереса злоумышленников к Linux стала длительная многолетняя операция по компрометации библиотек и утилит XZ для создания SSH-бэкдора в популярных Linux-дистрибутивах.
Критичных «дыр» больше в ОС, но чаще эксплуатируют другие приложения
Больше всего критических уязвимостей, снабженных эксплойтами, было найдено в операционных системах. Но критические дефекты в ОС нечасто полезны для начального проникновения в организацию. Поэтому если посмотреть на топ уязвимостей, практически эксплуатируемых в кибератаках APT, то картина сильно изменится.
В 2023 году в топе сменился лидер. После многолетнего доминирования MS Office на печальное первое место с огромным отрывом вышел WinRAR и его уязвимость CVE-2023-38831, используемая для доставки ВПО многими шпионскими и криминальными группировками. Впрочем, второе, третье и пятое места в 2023 году все равно занимали дефекты в Office, а на четвертом к ними присоединился печально знаменитый Log4shell. Также в топе две уязвимости MS Exchange.
В 2024 году ситуация вообще иная. Злоумышленники получили очень удобные для массовой эксплуатации «дыры» в доступных из Интернета сервисах: дефекты в Ivanti Connect Secure/Policy Secure и MSP-приложении ConnectWise. В рейтинге популярности WinRAR опустился на третье место, а Office вообще пропал из топа.
Организации значительно отстают с патчингом
Всего три уязвимости из топ-10 за прошлый год были обнаружены в 2023 году. Остальные активно эксплуатируемые CVE относятся к 2022, 2020 и даже 2017 году. Это означает, что значительное количество компаний либо допускает выборочное обновление своих IT-систем, либо оставляет какие-то проблемы незакрытыми в течение нескольких лет без применения компенсирующих мер. Редкая IT-служба может выделить достаточно ресурсов, чтобы патчить все и вовремя, поэтому грамотным среднесрочным решением будет инвестировать в продукты для автоматического обнаружения уязвимых объектов IT-инфраструктуры и применения обновлений.
Первые недели после выхода уязвимости наиболее критичны
Злоумышленники стараются «снять сливки» с вновь опубликованных уязвимостей, поэтому наиболее активные попытки эксплуатации ведутся в первые недели после появления эксплойта. Это нужно учитывать при планировании циклов обновления. Обязательно иметь план реагирования на случай появления критической уязвимости, прямо влияющей на вашу IT-инфраструктуру и требующей внеочередного патчинга. Разумеется, уже упомянутые средства автоматизации значительно упрощают решение этой проблемы.
Новые векторы атак
Нельзя сосредотачиваться только на офисных и «пограничных» сервисах и приложениях. В зависимости от IT-инфраструктуры организации, значительные риски может нести эксплуатация иных векторов, менее популярных, но очень эффективных для решения конкретных задач злоумышленников. Кроме уже упомянутой уязвимости в XZ Utils (CVE-2024-3094) интересны и перспективны для атакующих дефекты в runc, позволяющие «сбежать» из контейнера (CVE-2024-21626), а также в инструменте CI/CD TeamCity (CVE-2024-27198), дающие доступ к системам разработчика ПО.
Рекомендации по защите
Поддерживайте актуальное и глубокое понимание IT-активов компании, ведите подробный учет имеющихся серверов, сервисов, учетных записей, приложений.
Внедрите систему управления обновлениями, позволяющую оперативно идентифицировать уязвимое ПО и применять патчи. Для этого подходит, например, решение Kaspersky Vulnerability Assessment and Patch Management в сочетании с потоком данных Kaspersky Vulnerability Data Feed.
Используйте на всех компьютерах и серверах организации защитные решения, способные как предотвратить запуск ВПО, так и обнаружить и остановить попытки эксплуатации известных уязвимостей.
Применяйте комплексную многоуровневую систему защиты, позволяющую обнаруживать аномалии в инфраструктуре, целевые атаки на организацию, включая проводимые в ней попытки эксплуатации уязвимостей и применение легитимного ПО злоумышленниками. Для этого подойдет решение Kaspersky Symphony, которое может быть адаптировано к нуждам компаний разного масштаба.
Бизнес — Блог Касперского