Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center
За 2023 год эксперты Positive Technologies отнесли к трендовым 110 уязвимостей. Это наиболее опасные уязвимости, которые нужно быстро устранять или принимать против них компенсирующие меры. Мы выделяем их из большого количества уязвимостей, которые появляются каждый день. Информация о таких уязвимостях поступает в систему MaxPatrol VM в течение 12 часов. В данной статье мы подробнее разберем наш подход к определению трендовых уязвимостей и расскажем, какие типы уязвимостей были наиболее опасны в 2023 году.
Что такое трендовые уязвимости
Это уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться в ближайшее время.
Зачем нужно выделять трендовые уязвимости, если существуют другие способы оценки и приоритизации уязвимостей
Определение уровня опасности и приоритизация уязвимостей очень важны для управления уязвимостями, просто потому что их слишком много. Например, только за 2023 год было опубликовано 28 834 записи в базе уязвимостей National Vulnerability Database (NVD) и 9 146 записей в БДУ ФСТЭК. Все эти уязвимости в разной степени опасны для организаций. Существуют различные способы определения опасности уязвимостей, например с использованием CVSS или методики оценки уровня критичности уязвимостей ФСТЭК. Но, как правило, эти подходы не учитывают наиболее важные факторы: наличие зрелых инструментов для эксплуатации уязвимостей и фактов их эксплуатации в реальных атаках. Выделение уязвимостей в группу трендовых позволяет устранить этот пробел.
Трендовость — это еще один, самый верхний уровень оценки опасности уязвимостей. Исправлять такие уязвимости в инфраструктуре организаций необходимо в первую очередь. Детекты трендовых уязвимостей добавляются в продукты Positive Technologies не более чем за 12 часов. При этом нужно учитывать тип активов, на которых была обнаружена уязвимость. Например, уязвимость на тестовом узле с ограниченным временем жизни не является критически опасной. При принятии итогового решения необходимо руководствоваться моделью рисков, принятой в организации.
Какие факторы могут влиять на трендовость уязвимости
- Потенциальный злоумышленник может использовать уязвимость для развития атаки на инфраструктуру и реализации недопустимого события.
- Для уязвимости есть эксплойт, в идеале — публичный и верифицированный.
- Уязвимость обнаружена в продукте, который часто применяется в российских компаниях. Эксплуатабельная уязвимость в редком софте, которым никто не пользуется, не может быть трендовой.
В чем сложность определения трендовых уязвимостей
Если бы данные, на основании которых уязвимость можно считать трендовой, находились в достаточно полном и достоверном виде в каком-либо публичном источнике, то не было бы проблем с определением. К сожалению, это не так.
Почему недостаточно использовать CISA KEV
Одним из наиболее известных источников информации об уязвимостях, которые активно эксплуатируются вживую, является публичный каталог CISA Known Exploited Vulnerabilities (CISA KEV). Однако использование этого каталога в качестве основного инструмента для приоритизации уязвимостей в российских организациях может быть связано с трудностями, о которых пойдет речь далее.
Релевантность
Из 110 уязвимостей, отмеченных нами как трендовые в 2023 году, только 46 содержатся в CISA KEV. При этом 134 уязвимости, добавленные в CISA KEV в 2023 году, не отмечены нами как трендовые, так как они не были критически опасными или встречались в неактуальных продуктах.
Задержки
Уязвимости могут попадать в CISA KEV со значительной задержкой. Это связано с жесткими критериями отбора доказательств, подтверждающих факты эксплуатации уязвимости вживую. Кроме того, время попадания в CISA KEV зависит от наличия исправления от вендора, так как CISA KEV — это фактически перечень требований по устранению уязвимостей для федеральных агентств США.
Можно привести следующие примеры:
- Множественные уязвимости в сетевых устройствах Juniper серий EX и SRX, приводящие к Remote Code Execution (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847). Об уязвимостях стало известно в середине августа. Сообщение Shadowserver Foundation о попытках их эксплуатации вживую появилось 25 августа. В CISA KEV их добавили только 13 ноября. Мы же отнесли их к трендовым гораздо раньше — 28 августа.
- Уязвимость Looney Tunables, относящаяся к типу Elevation of Privilege, в Linux GNU C library (CVE-2023-4911). О ней стало известно 3 октября, публичный PoC-эксплойт для нее был готов уже на следующий день, а в начале ноября она уже эксплуатировалась в зловреде Kinsing. В CISA KEV уязвимость появилась только 21 ноября. Мы отнесли ее к трендовым гораздо раньше — 4 октября.
Почему недостаточно ссылок на эксплойты в NVD
Только 26 из 110 уязвимостей, добавленных нами в трендовые в 2023 году, имели публичные ссылки на PoC-эксплойт в NVD. Стоит также отметить, что ссылки на эксплойты в NVD часто не отмечаются тегом «exploit». Кроме того, тег «exploit» иногда указывается для ссылок, по которым есть только очень приблизительное описание PoC или указание на то, что он где-то существует, поэтому, независимо от наличия тега, требуется дополнительная верификация.
Для получения достоверной информации об эксплойтах недостаточно данных из NVD. Необходимо также анализировать публичные и коммерческие базы эксплойтов, репозитории кода, аналитические отчеты компаний и исследователей в сфере ИБ, публикации в социальных сетях, дарквебе и т. п.
Изменение описания уязвимости
Для корректной приоритизации уязвимости необходимо отслеживать не только появление эксплойтов и признаков активных атак, но и изменение описания уязвимости. В качестве примера можно привести Authentication Bypass в Atlassian Confluence (CVE-2023-22518). На момент выхода бюллетеня безопасности вендор сообщал, что злоумышленник не сможет нарушить конфиденциальность данных, используя эту уязвимость, а сможет только удалить данные. В таком случае проблема решалась с помощью резервного копирования и уязвимость не могла считаться трендовой. Однако через неделю вендор обновил информацию о ней и оказалось, что злоумышленник может получить с ее помощью права администратора, а значит, и полный контроль над сервером Confluence. Такую уязвимость можно было с полным правом отнести к трендовым, что и было сделано нашей командой в начале ноября 2023 года.
Нестандартные CVE-уязвимости
Иногда CVE-идентификаторы присваиваются не уязвимостям, а, скорее, инцидентам информационной безопасности. Так, в марте 2023 года стало известно, что некоторые версии 3CX Desktop App, мессенджера с возможностью телефонной связи, были модифицированы злоумышленниками на стороне вендора. При скачивании приложения с официального сайта происходило заражение трояном типа infostealer. Обычно для таких supply-chain-атак не заводятся CVE-идентификаторы, но в этом случае был создан идентификатор CVE-2023-29059. Правильное определение типа таких нестандартных «уязвимостей» требует дополнительных усилий со стороны аналитиков. Эта уязвимость была определена как Remote Code Execution (RCE), так как при установке пользователем зараженного приложения злоумышленники получали тот же результат, что и при эксплуатации RCE-уязвимости. Эта уязвимость была отнесена нами к трендовым 31 марта 2023 года.
CVE-уязвимости, которых нет в NVD
Некоторые CVE-уязвимости, которые мы признали трендовыми в 2023 году, отсутствуют в базе NVD, а в базе Mitre находятся в состоянии Reserved. Это происходит даже несмотря на то, что их CVE-идентификаторы активно упоминаются в различных источниках, описывающих эти уязвимости. В качестве примеров можно привести RCE в WinRAR (CVE-2023-40477) и RCE в Exim (CVE-2023-42115). Особенно часто такие проблемы возникают с уязвимостями, которые заводились через CNA CVE Numbering Authority (CNA) — организация-участник проекта CVE, которой предоставлено право присваивать идентификаторы и публиковать информацию об уязвимостях.-организацию Zero Day Initiative (ZDI).
BDU-уязвимости без CVE-идентификаторов
В 2023 году мы отнесли к трендовым одну уязвимость, у которой не было CVE-идентификатора, но был идентификатор в БДУ ФСТЭК. Это RCE в «1С-Битрикс: Управление сайтом» (BDU:2023-05857). Можно предположить, что если курс на импортозамещение в России сохранится и некоторые западные организации откажутся работать с российскими исследователями, то количество уязвимостей, имеющих только идентификатор в БДУ ФСТЭК, будет расти.
Как правильно определять трендовые уязвимости
Учитывая все трудности, для определения трендовых уязвимостей необходимо в автоматическом режиме собирать и актуализировать информацию из различных источников (баз уязвимостей, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и т. п.), а затем проводить ручную верификацию этой информации.
При этом внезапные изменения уровня опасности уязвимости происходят очень часто. Поэтому важно не только своевременно реагировать на них, но и по возможности предсказывать заранее, чтобы успеть исправить до начала массовой практической эксплуатации.
Обзор трендовых уязвимостей от Positive Technologies за 2023 год
Типы уязвимостей
В 2023 году мы добавили трендовые уязвимости следующих типов:
- Remote Code Execution (39)
- Elevation of Privilege (33)
- Authentication Bypass (17)
- Security Feature Bypass (9)
- Information Disclosure (3)
- Command Injection (2)
- Path Traversal (2)
- Code Injection (1)
- Denial of Service (1)
- Memory Corruption (1)
- Incorrect Calculation (1)
- Cross-Site Scripting (1)
Можно отметить, что большинство уязвимостей позволяют злоумышленнику либо непосредственно скомпрометировать актив (Remote Code Execution, Authentication Bypass), либо повысить свои права на нем (Elevation of Privilege).
Уязвимые продукты
В 2023 году мы добавили трендовые уязвимости для 73 различных продуктов.
Группы продуктов
Корпоративная инфраструктура (44) |
|
Инструменты для совместной работы (11) |
|
Сетевые устройства (10) |
|
Почтовые серверы (9) |
|
ERP и CRM (4) |
|
MDM (3) |
|
Виртуализация (3) |
|
Резервное копирование (2) |
|
Балансировщики нагрузки (1) |
|
Средства мониторинга ИТ (1) |
|
Операционные системы (35) |
|
Ядро и компоненты Microsoft Windows (28) |
|
Ядро и системные утилиты Linux (5) |
|
Ядро и системные утилиты macOS (2) |
|
ПО для настольных компьютеров (11) |
|
Веб-браузеры (3) |
|
Архиваторы (2) |
|
Клиенты для работы с электронной почтой (2) |
|
Текстовые редакторы (2) |
|
Клиенты для работы с IP-телефонией (1) |
|
Программы для просмотра PDF (1) |
|
Разработка приложений (11) |
|
Модули и библиотеки (6) |
|
Средства разработки и деплоя (3) |
|
Базы данных и брокеры сообщений (2) |
|
Бизнес-сервисы (9) |
|
CMS и e-commerce (8) |
|
Веб-серверы (1) |
|
Как можно видеть, большинство трендовых уязвимостей, выделенных нами, содержатся в продуктах для корпоративной инфраструктуры и операционных системах для настольных компьютеров и серверов (в первую очередь — Windows).
Типы продуктов
Иностранный коммерческий продукт (85) |
|
Продукт с открытым кодом (21) |
|
Российский коммерческий продукт (4) |
|
Можно отметить, что практически все продукты с трендовыми уязвимостями имеют западное происхождение. В значительной степени это связано с тем, что российские вендоры коммерческих решений пока менее склонны регистрировать уязвимости, найденные в их продуктах, в публичных базах. При этом отечественные Linux-дистрибутивы мы относим к ПО с открытым кодом, поэтому уязвимости Linux Kernel затрагивают и их.
Заключение
Трендовые уязвимости в MaxPatrol VM позволяют быть в курсе самых опасных угроз и быстро реагировать на них. Экспертиза доставляется в продукт в кратчайшие сроки — за 12 часов, что позволяет также выполнять рекомендации ФСТЭК по устранению критически опасных уязвимостей в течение 24 часов. Самую актуальную информацию об опасных уязвимостях можно найти в нашем телеграм-канале.