В уходящем году исследователи Positive Technologies выявили уязвимостей в российских продуктах почти в три раза больше, чем в 2023. Как ожидают эксперты, в наступающем году количество таких брешей продолжит увеличиваться. Будет также больше новостей о трендовых уязвимостях в отечественном ПО: с ростом его доли на рынке все больше атакующих будут стремиться исследовать и эксплуатировать его недостатки. С другой стороны, совершать атаки на аппаратные решения, по прогнозам специалистов, в 2025 году станет намного сложнее. Реализацию аппаратных атак смогут позволить себе лишь немногие киберпреступники, так как это потребует больших затрат и очень высокого уровня экспертизы.
Белый хакинг против атакующих: опередить злоумышленника
Диана Абдурахманова
Руководитель группы координированного раскрытия уязвимостей, Positive Technologies
За 11 месяцев 2024 года команда PT SWARM (эксперты Positive Technologies, исследующие безопасность всевозможных систем и устройств) помогла устранить 100 уязвимостей нулевого дня в продуктах крупнейших мировых и отечественных производителей. При этом 75 найденных уязвимостей имели высокий или критический уровень опасности. Среди выявленных и закрытых уязвимостей: CVE-2024-43629 в Microsoft Windows, CVE-2024-7400 в антивирусе ESET Internet Security, опасная уязвимость в популярной системе для видеоконференций Yealink, уязвимость в системе мониторинга состояния IT-ресурсов Pandora FMS.
Всего за 2022–2024 годы исследователи Positive Technologies выявили 452 уязвимости 0-day. В подавляющем большинстве случаев для всех этих уязвимостей вендорами были выпущены пакеты обновлений. В целом от года к году тенденция положительная: за 2024 год стало на 30% больше репортов, которые закрываются в течение 60 дней; примерно на 30% уменьшилось количество вендоров, у которых на закрытие уязвимостей уходит более 90 дней.
Количество уязвимостей в отечественных продуктах растет
Эксперты Positive Technologies отмечают большое количество уязвимостей в российском программном обеспечении. В 2024 году специалисты PT SWARM обнаружили в российском ПО почти в три раза больше уязвимостей, чем в 2023. При этом 16% выявленных брешей имеют критический уровень опасности. Лидером в этом антирейтинге являются сайты под управлением CMS «1С-Битрикс». Доля уязвимых продуктов вендора за последний год выросла с 13% до 33%.
Какие уязвимости станут главными угрозами в 2025 году
В связи с тем, что скорость патч-менеджмента увеличивается, злоумышленники будут еще активнее искать и использовать уязвимости нулевого дня, внимательно отслеживать сведения о свежих уязвимостях и создавать для них эксплойты.
Эксперты также ожидают, что на фоне импортозамещения продолжит расти количество уязвимостей в отечественных продуктах.
2024–2025: какие уязвимости были и будут в тренде
Александр Леонов
Ведущий эксперт PT Expert Security Center, Positive Technologies
Всего в 2024 году эксперты Positive Technologies отнесли к трендовым более 70 уязвимостей. Они были обнаружены в операционных системах, прикладном программном обеспечении, системах для резервного копирования, сетевых устройствах и других продуктах.
Для 48 из 66 трендовых уязвимостей есть зафиксированные признаки эксплуатации в атаках злоумышленников, для 15 — публичные эксплойты, для 3 — только вероятность1 будущей эксплуатации.
Большая часть трендовых уязвимостей была связана с выполнением произвольного кода и команд (23), а также с повышением привилегий до максимальных (17).
Продуктов Microsoft касались 27 трендовых уязвимостей. Из них 14 — уязвимости повышения привилегий в ядре Windows и стандартных компонентах. Только одна уязвимость повышения привилегий касалась ядра Linux (CVE-2024-1086).
- Прогноз построен на основе анализа информации о подобных трендовых уязвимостях в прошлом.
Ставка на «старый добрый» фишинг
Больше всего трендовых уязвимостей (16) злоумышленники использовали для фишинговых атак. Значительная часть уязвимостей (10) представляла угрозу сетевой безопасности организаций, уязвимости могли стать точками проникновения. Шесть трендовых уязвимостей позволили скомпрометировать виртуальную инфраструктуру и бэкапы организаций. Остальные трендовые уязвимости касались обхода аутентификации и выполнения произвольного кода. Они позволяли скомпрометировать ПО, разрабатываемое в компании, а также могли использоваться в атаках на инструменты совместной работы.
Пользователям Microsoft приготовиться
Эксперты Positive Technologies ожидают, что в 2025 году количество трендовых уязвимостей в продуктах Microsoft сохранится примерно на том же уровне (около 30 недостатков). В западных сетевых устройствах предполагается уменьшение количества трендовых уязвимостей, так как их влияние на отечественный ИТ-ландшафт снижается в связи с импортозамещением. Ожидается, что появится больше новостей о трендовых уязвимостях в отечественном ПО: его доля на рынке растет и есть много атакующих, заинтересованных в исследовании и эксплуатации недостатков безопасности в нем.
Embedded: сложные атаки vs массовые устройства
Алексей Усанов
Руководитель направления исследований безопасности аппаратных решений, Positive Technologies (Positive LABS)
Год «жизненных» уязвимостей
Событийно в направлении хардварной безопасности прошедший год может быть ознаменован как год уязвимостей, очень «жизненных» и сложно устранимых (а иногда и не устранимых вовсе), касающихся огромного числа пользователей. Некоторые недостатки безопасности имеют большое значение, так как были обнаружены уже по результатам реальных атак, а другие не были замечены в реальных атаках, но могли бы привести к существенным негативным последствиям. А еще найденные уязвимые места показывают очень высокую сложность современных атак, в то же время находятся люди, способные такие кибератаки совершать.
Топ событий года в тематике хардварных исследований
- Обнаружение уязвимостей в GigaDevice GD32 экспертами Positive Technologies: используя эти недостатки, потенциальный злоумышленник может получить полный доступ к прошивке устройства.
- Выявление уязвимостей в Qualcomm Adreno GPU: исследователи из Google Android Red Team обнаружили около 10 уязвимостей в Adreno GPU, которые позволяли добиться полного контроля над устройствами.
- Операция «Триангуляция»: выявлена целевая кибератака высокой сложности на iOS-устройства с применением цепочки четырех уязвимостей нулевого дня. Возможно получить широкий доступ к содержимому и функциям устройств.
- Обход ARM Memory Tagging Extension с помощью SCA: спекулятивная атака TIKTAG позволяет обойти защиту Google Chrome и ядра Linux и слить данные с вероятностью 95%.
- Взлом контроллеров Apple Type-C: опубликовано исследование, в ходе которого эксперты подтвердили возможность получить прошивку новых контроллеров интерфейса Type-C Apple.
- SCA-атака GoFetch на процессоры Apple М: найдена аппаратная уязвимость в процессорах Apple серии М, используемых в большинстве ноутбуков и настольных ПК, а также в ряде планшетов iPad.
Глобально ни бизнес, ни ИТ, ни кибербезопасность из-за этих уязвимостей не изменят направления своего пути. Тем не менее мы знаем, что есть вендоры, которые создавали устройства на уязвимых версиях чипов GD32. Теперь они планируют разрабатывать новые версии своих устройств с заменой микроконтроллеров на другие, не имеющие выявленных уязвимостей. Речь идет о сотнях тысяч устройств и, как следствие, о дополнительных вложениях в разработку. То есть вопрос заинтересованности вендоров в быстром устранении уязвимостей, связанный с финансированием этого процесса, остается открытым.
Стоит заметить, что почти ни одна из хардварных уязвимостей, информация о которых была разглашена в 2024 году, не была найдена в рамках программ багбаунти. Даже само количество производителей, заинтересованных в проверке устройств или чипов на уязвимости и выходящих для этого на багбаунти, все еще крайне мало. Тем не менее круг желающих растет, и их программы становятся более заметными в общем объеме багбаунти-проектов.
Защищенность устройств и плохая память вендоров
Почти во все новые микроконтроллеры, даже самого базового уровня, встраиваются технологии доверенного исполнения кода. И в перспективе это может затруднить потенциальный взлом и анализ большей части устройств. В то же время разработчики быстро все забывают и повторяют уже, казалось бы, пройденные ошибки. Например, недавно мы обнаружили, что новые SD-картридеры позволяют подключиться к внутренней шине PCI Express ноутбука с помощью очень простого эмулятора SD-карты. И снова, как и 10 лет назад, нашлась удобная точка входа для выполнения DMA-атак.
Очень быстро растет количество подключенных устройств. Производители стараются захватить рынок и выпускают продукты со множеством уязвимостей или вообще не имеющие защиты. При этом не нужно забывать, что компрометация подключенного устройства несет риск компрометации всей инфраструктуры, так как оно является точкой входа и при некорректной настройке сетевой инфраструктуры может стать стартом для успешной атаки на предприятие. А еще многие подключенные устройства могут быть массово взломаны при компрометации инфраструктуры производителя, как это было, например, в этом году с сетевыми накопителями Synology.
Тренды: повышение стоимости хардварных атак
В embedded-разработку приходит много людей из прикладного программирования, чему способствует развитие современных средств разработки и фреймворков. Это влечет за собой потенциальные проблемы с быстродействием и безопасностью, так как в прошивке появляется большое количество кода из фреймворков и разрозненных библиотек. При этом код самой бизнес-логики в устройстве занимает единицы процентов от общего объема кода.
Мы видим, что все больше производителей начинают уделять внимание защите своих устройств от fault injection и side-channel-атак, появляются запросы на подобные исследования. То есть период 5–7 лет, когда оборудование для выполнения таких атак стало стоить относительно недорого и количество атак увеличилось, прошел — теперь очередь за стороной защиты. Ждем нового раунда противостояния и повышения стоимости подобных атак, делаем ставки на то, что устройства в массе своей станут защищеннее (это факт). При этом понятно, что истории их взломов будут очень штучными, которые мало кто из атакующих сможет себе позволить, так как это дорого и требует очень высокого уровня экспертизы.