Количество уязвимостей ежегодно растет: к примеру, в базе данных National vulnerability database (NVD) в 2020 году было опубликовано более 18 000 уязвимостей, а в 2021 году — свыше 20 000. Таким образом в среднем каждый день обнаруживается более 50 уязвимостей. Часть из них злоумышленники сразу берут в оборот.
Уязвимости, которые популярны у киберпреступников на текущий момент или, по нашим прогнозам, могут начать массово использоваться в ближайшее время, мы называем трендовыми. Давайте разберемся, в чем их опасность, сколько стоит реализовать недопустимые события в компании, и почему трендовые уязвимости нужно устранять как можно скорее.
Трендовая уязвимость сокращает время на взлом компании до 45 минут
По нашим оценкам, если на сетевом периметре компании присутствует трендовая уязвимость с публичным эксплойтом, то на проникновение в сеть злоумышленнику понадобится около 45 минут. В этом случае злоумышленнику не нужны ни особые навыки в проведении анализа защищенности, ни навыки программирования. Если же эксплойты для обнаруженных уязвимостей отсутствуют, то задача злоумышленника усложняется. Еще больше требований к квалификации нарушителя возникает, если известных уязвимостей на периметре нет – на поиск и эксплуатацию уязвимости нулевого дня может понадобиться несколько дней, а то и месяцев. В рамках тестирования на проникновение в тех компаниях, где за ограниченный договором срок удавалось преодолеть сетевой периметр, на эту задачу уходило до 10 дней.
За счет популярности продуктов, в которых содержатся трендовые уязвимости, под угрозой может оказаться любая компания. В 2021 году мы проводили проекты по анализу защищенности и пилотные проекты MaxPatrol VM в крупных компаниях, 45% из которых входят в первые две сотни крупнейших компаний по рейтингу RAEX-600. И даже в таких учреждениях были обнаружены трендовые уязвимости. Поэтому нарушитель, обладающий лишь базовыми навыками и бесплатным эксплойтом, может взломать, к примеру, финансовую организацию, чей объем чистой прибыли составляет более 8 млрд рублей, или промышленную компанию с оборотом более 500 млн. рублей.
Минимум вложений или Возврат инвестиций в эксплойт
Если для уязвимости появляется публичный эксплойт, то с большой долей вероятности ее начнут применять в атаках в ближайшее время. По нашим данным, для 80% уязвимостей, используемых в атаках злоумышленниками с Q1 2020 и по Q3 2021 года, существовал публичный эксплойт.
Для большинства трендовых уязвимостей существует готовый эксплойт, причем он может быть абсолютно бесплатным. Возьмем, к примеру, уязвимость CVE-2020–1472 (Zerologon). Она позволяет получить полный контроль над инфраструктурой компании всего за три секунды, если злоумышленник уже находится внутри, а судя по нашим данным, в сеть 93% компаний можно проникнуть примерно за два дня. Обладая такими привилегиями, злоумышленник может зашифровать все данные и потребовать выкуп, украсть крупную сумму денег или незаметно шпионить за сотрудниками компании, включая ее руководителей. Эксплойт для этой уязвимости находится в свободном доступе.
А если публичного эксплойта пока нет или он ненадежен, все можно приобрести в дарквебе. Например, для уязвимости BlueKeep в службе RDP в ОС Windows (CVE-2019-0708), мы обнаружили в дарквебе объявление о продаже целого набора инструментов, в том числе эксплойт и утилиту для обнаружения уязвимых узлов. Стоимость такого набора составила 12 000 долл. США. Внушительная сумма, согласитесь? Однако учитывая распространенность Windows и то, что с помощью этой уязвимости можно распространять вредоносы по всей инфраструктуре компании, затраты могут быстро окупиться. В этом случае стоимость атаки можно «отбить» уже с помощью первой жертвы, особенно, если речь идет про операторов программ-вымогателей: по данным компании CrowdStrike, средняя сумма выплачиваемого вымогателям выкупа составляет 1,78 млн. долл. США. Чем крупнее компания-жертва, тем больше возможная прибыль злоумышленников, поэтому они не поскупятся на дорогостоящий эксплойт.
Нет времени объяснять, действуй
С трендовыми уязвимостями нужно действовать молниеносно, злоумышленники начинают эксплуатировать их уже в первые часы после появления эксплойта, и никто не знает, кто станет следующей жертвой. По нашим подсчетам, для того, чтобы разработать эксплойт, в среднем требуется 24 часа.
В начале декабря была обнаружена уязвимость CVE-2021-44228 в библиотеке Apache Log4j, она получила название Log4Shell и, по текущим оценкам, затронула миллионы устройств по всему миру. Об уязвимости в своих решениях уже заявили такие облачные сервисы, как Steam, Apple iCloud, а также крупные компании: Cisco, CloudFlare, FedEx, GitHub, IBM и другие. По данным исследования Check Point, в 48,3% корпоративных сетей по всему миру злоумышленники попытались проэксплуатировать уязвимость Log4Shell. Эксперты фиксировали около 100 попыток атак с использованием этой уязвимости в минуту. Уже сейчас для этой уязвимости существует более 60 эксплойтов.
Этой уязвимостью уже вовсю пользуются злоумышленники, распространяющие троян Dridex и программу-вымогатель Conti Эксперты придумали термин, описывающий ситуацию в ИТ-мире после того, как была открыта Log4Shell, – киберпандемия. Последствия этой пандемии более чем разрушительные, например, бельгийские военные на протяжении недели пытаются восстановить свою инфраструктуру после атаки киберпреступников, которые воспользовались Log4Shell.
Выводы
Для того чтобы взломать крупную компанию злоумышленникам не требуется много времени, а покупка эксплойта может окупиться после первых успешных атак. Защититься от атак с использованием трендовых (и не только) уязвимостей можно с помощью грамотно выстроенного процесса управления уязвимостями. Помочь с этим процессом могут современные программные решения, которые возьмут на себя всю сложную работу, например, как это делает MaxPatrol VM. В этом продукте мы собрали всю нашу экспертизу и тот самый список трендовых уязвимостей, который регулярно обновляем.