Последствия несвоевременного устранения уязвимостей (2022-2023)

Эксплуатация уязвимостей программного и аппаратного обеспечения, веб-приложений на протяжении пяти лет входит в тройку наиболее популярных методов атак на организации: по нашим данным, в 2023 году доля успешных атак, в которых были отмечены случаи эксплуатации уязвимостей, составила 32%, что на 14 процентных пунктов больше, чем в 2019 году.

Количество уязвимостей также неуклонно растет, а время, за которое злоумышленники разрабатывают эксплойты для обнаруженных уязвимостей, сокращается: по данным аналитиков Mandiant, среднее время эксплуатации уязвимости после ее раскрытия сократилось с 63 дней в 2018–2019 годах до 32 дней в 2021–2022 годах.

Актуальность векторов атак с эксплуатацией уязвимостей, постоянный рост количества обнаруженных уязвимостей и сокращение времени до появления эксплойтов должны подстегивать команды информационной безопасности организаций к более тщательной работе в вопросах обнаружения, управления и оперативного устранения уязвимостей.

В рамках настоящего исследования мы поделимся нашей статистикой по уязвимостям, выявленным экспертами PT SWARM (PT Security Weakness Advanced Research and Modeling). Стоит отметить, что специфика исследовательской деятельности определяет тип обнаруженных уязвимостей: эксперты делают акцент на сложных, критически опасных уязвимостях, которые могут быть использованы злоумышленниками в реальных атаках на инфраструктуру и повлиять на бизнес-процессы жертвы.

Кроме того, в исследовании представлены результаты анализа сообщений об уязвимостях в дарквебе: на основе сообщений мы оценили время, которое проходит между публикацией сведений об уязвимости и появлением и обсуждением на форумах эксплойтов для проверки концепции (proof of concept, PoC), а также выделили список наиболее обсуждаемых уязвимостей ¹.

В отчете рассматриваются основные проблемы работы с уязвимостями и приводятся рекомендации для их разрешения и минимизации негативных последствий. Степень опасности уязвимостей оценивалась согласно системе Common Vulnerability Scoring System (CVSS) версии 3.1; на основе этой оценки выделялись качественные оценки критически высокого, высокого, среднего и низкого уровня опасности.

Исследователям PT SWARM удается находить уязвимости в самых разных продуктах ([1], [2]), а также успешно взаимодействовать с вендорами в вопросах, касающихся устранения этих уязвимостей: за 2022–2023 годы эксперты по анализу защищенности выявили 285 уязвимостей (70% из которых — высокого и критического уровня опасности) в программном и аппаратном обеспечении 84 вендоров.

Эксперты сосредотачивают внимание на поиске максимально эффективных и опасных уязвимостей в ПО или аппаратных решениях, которые могут быть проэксплуатированы злоумышленниками в реальных атаках на целевые системы и оказать на них значительное влияние.

Наиболее актуальным классом стали уязвимости, связанные с внедрением кода в запросы пользователя (42%). Такие уязвимости позволяют внедрять вредоносный код в запросы к серверу и выполнять его. В результате злоумышленники могут украсть конфиденциальные данные, атаковать пользователей и даже перехватить контроль над сервером.

Большую долю уязвимостей, связанных с внедрением кода, составили уязвимости, приводящие к межсайтовому выполнению сценариев (Cross-site Scripting, XSS), — 42%. Наиболее распространенными типами межсайтового скриптинга стали хранимые ² (Stored) и отраженные ³ (Reflected) XSS.

Доля уязвимостей, позволяющих удаленно выполнить код (Remote Code Execution, RCE), составила 21%. Эти уязвимости представляют собой серьезную угрозу: их эксплуатация может привести к полному удаленному контролю над системой, развертыванию вредоносного ПО и даже атакам на другие системы.

Замыкает тройку внедрение SQL-кода (18%): уязвимости, связанные с атаками этого типа, позволяют вставить вредоносный код в запрос к базе данных через формы ввода, что может привести к удалению, модификации или утечке данных, а также выполнению различных действий на сервере базы данных.

Недостатки контроля доступа стали второй категорией по количеству обнаруженных уязвимостей — на долю этой категории пришлось 14% уязвимостей. Сбои контроля доступа могут приводить к несанкционированному доступу злоумышленников к данным или приложениям, а также дают возможность совершать в системе те действия, которые не позволяет выданный пользователю набор прав.

Из всех уязвимостей этого класса 26% связаны с возможностью обхода ограничений путей для каталогов: они позволяют атакующим проводить манипуляции над параметрами URL для получения доступа к локальным файлам и директориям, доступ к которым не предусмотрен логикой работы приложения.

Доля уязвимостей, эксплуатация которых приводит к разглашению конфиденциальных данных без соответствующих прав, составила 14%; полученные данные могут быть использованы злоумышленниками для проведения дальнейших атак на систему или пользователей.

В 13% случаев недостатки контроля доступа были обусловлены наличием уязвимости, позволяющей провести атаку типа «подделка межсайтового запроса» (Cross-site Request Forgery, CSRF), когда приложение не проверяет HTTP-запрос на легитимность его отправителя. Используя эту уязвимость и специально созданный сценарий, злоумышленник может совершать действия от лица авторизованного пользователя.

Замыкают тройку актуальных категорий уязвимостей угроз по OWASP Top 10 — 2021 ошибки идентификации и аутентификации: их доля составила 10% от общего числа выявленных уязвимостей в 2022–2023 годах. Недостатки механизма подтверждения личности, аутентификации и управления сеансами позволяют атакующим получать идентификаторы в URL-адресе, проводить атаки перебора (Bruteforce) и подстановки (Credential Stuffing) учетных данных, перехватывать сеансы пользователей и даже получать полный контроль над системой.

Исследователи выявили использование жестко закодированных учетных данных в продуктах различных вендоров (34%) — это достаточно серьезная, легкая в эксплуатации и трудная в устранении уязвимость, процесс исправления которой может потребовать значительных усилий со стороны вендора и оперативной доставки обновлений до пользователей. Отсутствие аутентификации для критически важных функций было отмечено в 31% случаев: злоумышленники могут получить несанкционированный доступ к функциональности системы без соответствующей проверки на легитимность доступа.

Среди уязвимостей, не входящих в OWASP Top 10 — 2021, эксперты PT SWARM наиболее часто выявляли уязвимости записи данных за границами буфера (58%): приложение, неправильно ограничивающее операции в пределах буфера памяти, подвержено внедрению и удаленному выполнению произвольного кода или отказу в обслуживании (Denial of Service, DOS). Наличие уязвимости, связанной с неконтролируемым потреблением ресурсов приложением (28%), может быть использовано злоумышленниками для перегрузки и вывода из строя целевой системы.

В ходе исследования мы проанализировали 217 телеграм-каналов и форумов в дарквебе с общим количеством пользователей 12 270 258 и общим числом сообщений 51 143 292. Мы выбрали сообщения за 2022–2023 годы, в которых есть упоминания различных уязвимостей (по их идентификаторам) на русском, английском и китайских языках на форумах в дарквебе.

Один из значимых результатов исследования — определение времени, которое требуется для того, чтобы уязвимость была опубликована в дарквебе после ее обнаружения. Особое внимание мы уделили критически опасным ⁴ уязвимостям. Некритически опасные ⁵ уязвимости также имеют потенциал нанесения ущерба, как и критически опасные, поэтому нами рассматриваются оба типа уязвимостей. Мы полагаем, что эти результаты помогут бизнесу и вендорам понять, насколько оперативно нужно реагировать на обнаружение уязвимостей и предпринимать действия по защите своих систем от атак.

После публикации сведений об обнаруженной уязвимости экспериментальный PoC-эксплойт становится доступным в среднем через шесть дней для критически опасных и через неделю — для некритически опасных уязвимостей. Спустя еще пять дней для критически опасных и шесть — для некритически опасных уязвимостей начинаются обсуждения на специализированных площадках в дарквебе: чем дольше происходит обсуждение, тем выше вероятность разработки «боевых» эксплойтов, которые будут нацелены на реальное применение в атаках для компрометации целевых систем и распространения вредоносных программ. В подавляющем большинстве сообщений в дарквебе (92%) злоумышленники обсуждают публичные версии PoC-эксплойтов, а в 8% сообщений происходит обсуждение покупки или продажи эксплойта для проведения реальных атак.

Наибольший интерес для злоумышленников представляют уязвимости критической и высокой степени опасности. Что касается векторов атаки, то более активное обсуждение у злоумышленников в дарквебе вызывают уязвимости с сетевым ⁶ вектором атаки: доля сообщений с их упоминанием составила 70%, тогда как доля сообщений об уязвимостях, использующихся в локальном ⁷ векторе атаки, составила 30%.

Несвоевременное устранение уязвимостей может иметь серьезные последствия для организаций. Ниже представлены примеры трендовых уязвимостей 2022–2023 годов и последствия их эксплуатации.

В 2023 году аналитики Positive Technologies провели исследование деятельности организаций в вопросах управления уязвимостями, в котором были определены основные проблемы работы с уязвимостями.

Неопределенность при классификации активов увеличивает вероятность пропуска важных систем, подверженных атакам. Для минимизации рисков рекомендуется начать процесс управления уязвимостями с оценки и классификации активов, чтобы выделить наиболее значимые и обеспечить их защиту в первую очередь.

После проведения оценки убедитесь в том, что классифицированы все активы. Это крайне важно, чтобы исключить возможность пропуска важных информационных систем и других значимых компонентов инфраструктуры организации.

Данные отчета указывают на то, что в 75% компаний информация об активах не была обновлена своевременно, что привело к неактуальным данным о примерно трети активов. Эта ситуация представляет опасность для организаций, поскольку уязвимости на некоторых активах могут остаться незамеченными.

Управление уязвимостями включает в себя их своевременное обнаружение, анализ и устранение. В результате анализа выявляются десятки, а иногда и сотни тысяч различных уязвимостей. Решение такого объема проблем в короткие сроки — сложная задача, поэтому важно определить приоритеты.

Исследование показало, что 76% компаний игнорировали важность актива, на котором была обнаружена уязвимость. Большинство организаций не учитывали уровень опасности уязвимости, ее трендовость и наличие публичного эксплойта. Это увеличивает вероятность пропуска самой опасной для инфраструктуры уязвимости.

При приоритизации уязвимостей следует учитывать следующие факторы:

1. Значимость актива, на котором обнаружена уязвимость. Важно оценить потенциальные негативные последствия ее эксплуатации.
2. Трендовость уязвимости и наличие публичного эксплойта. Если уязвимость активно используется в реальных атаках, ее следует устранить как можно скорее.
3. Доступность актива и необходимые привилегии для эксплуатации уязвимости. Это поможет определить, кто может воспользоваться уязвимой системой и возможно ли проведение атаки внешним злоумышленником.
4. Уровень опасности уязвимости согласно базовой системе оценки CVSS.

К сожалению, злоумышленники не ждут недели после публикации уязвимостей, а стараются немедленно их эксплуатировать, пока потенциальные жертвы не установили обновления безопасности. По данным отчета Qualys, 25% уязвимостей высокой степени опасности были использованы злоумышленниками в день публикации информации о них. Этот факт является тревожным сигналом для организаций и подчеркивает необходимость принятия мер по предотвращению атак и анализу угроз.

Несоблюдение установленных сроков устранения уязвимостей позволяет злоумышленникам воспользоваться недостатками системы и успешно осуществить атаку. Наше предыдущее исследование показало, что в каждой третьей компании не соблюдались положения политики устранения уязвимостей, установленной в организации. Около трети (30%) систем с высокой значимостью содержали в среднем семь просроченных трендовых уязвимостей.

Для предотвращения эксплуатации уязвимостей и наступления недопустимых событий необходимо принимать проактивные меры по защите отдельных сервисов и IT-инфраструктуры в целом. На основе результатов нашего исследования мы рекомендуем организациям проводить регулярную инвентаризацию и классификацию активов, учитывая их значимость, опасность и трендовость уязвимостей при приоритизации, проводить регулярный анализ защищенности систем и приложений, отслеживать активность в дарквебе для определения наиболее актуальных угроз. Определение адекватных сроков устранения уязвимостей и контроль за процессом также являются важными шагами.

Для выполнения этих рекомендаций рационально использовать системы управления уязвимостями (vulnerability management, VM). Применение специализированных инструментов позволяет своевременно выявлять и устранять опасные уязвимости как на сетевом периметре, так и внутри IT-инфраструктуры — сведения об актуальных уязвимостях доставляются в современные системы класса VM в течение 12 часов. Регулярный мониторинг состояния целевых и ключевых систем помогает избежать недопустимых событий, связанных с эксплуатацией уязвимостей на важных активах.