Positive Technologies
Новости

Positive Technologies: у специалистов по кибербезопасности есть в среднем 6 дней на установку обновлений

Меньше чем за неделю злоумышленники разрабатывают и выкладывают в дарквебе эксплойты для критически опасных уязвимостей, которые могут быть использованы в атаках

Эксплуатация уязвимостей на протяжении пяти лет входит в тройку наиболее популярных методов атак на организации, сообщается в исследовании Positive Technologies1. Например, в 2022–2023 годах этот метод использовали для кражи конфиденциальных данных у более 2700 компаний по всему миру с помощью лишь одной определенной уязвимости. В исследовании представлена статистика по уязвимостям, выявленным экспертами PT SWARM, а также результаты анализа сообщений об уязвимостях в дарквебе.

Исследователи Positive Technologies проанализировали более 51 млн сообщений, размещенных на 217 площадках в дарквебе. Наиболее упоминаемыми среди киберпреступников стали уязвимости в WinRAR (CVE-2023-38831), продуктах Fortinet (CVE-2022-40684) и Java-фреймворке Spring Framework (CVE-2022-22965). Пристального внимания также были удостоены уязвимости Linux (CVE-2022-0847) и Microsoft Support Diagnostic Tool (CVE-2022-30190). Злоумышленники обсуждают, как правило, уязвимости с сетевым вектором атаки2: доля таких сообщений составила 70%.

«В последние три года эксплуатация уязвимостей пользуется повышенным вниманием злоумышленников: на этот вектор в среднем приходится треть всех успешных кибератак. Для сравнения: в 2019 году эта цифра составляла 18%, а в 2023 м — 32%. После публикации сведений об обнаруженной критической уязвимости экспериментальный PoC-эксплойт (proof of concept, PoC) становится доступным в среднем через шесть дней. Это, как правило, участок кода, список команд или программа, которые могут применяться в атаке на...

Федор Чунижеков
Федор ЧунижековРуководитель исследовательской группы Positive Technologies

Несвоевременное устранение уязвимостей может иметь серьезные последствия для организаций. Так, в мае 2023 года произошел массовый дефейс сайтов в доменных зонах .ru, .рф из-за уязвимости CVE-2022-27228 в «1С-Битрикс». У телекоммуникационной компании Xfinity, вследствие эксплуатации уязвимости CVE-2023-4966, были похищены данные об аккаунтах 36 млн клиентов (включая хеш-суммы паролей, пароли и ответы на секретные вопросы). Ошибку в Microsoft Windows Support Diagnostic Tool (CVE-2022-30190, Follina) взяли на вооружение группировки вымогателей, что привело к массовым атакам с использованием шифровальщиков, а также APT-группировки, применявшие уязвимость в кампаниях по кибершпионажу. В результате эксплуатации критически опасной уязвимости в Progress MOVEit Transfer (CVE-2023-34362) были скомпрометированы конфиденциальные данные более 2700 организаций по всему миру.

Для предотвращения эксплуатации уязвимостей и наступления недопустимых событий необходимо принимать проактивные меры по защите отдельных сервисов и IT-инфраструктуры в целом. Эксперты рекомендуют организациям проводить регулярную инвентаризацию и классификацию активов; учитывать значимость актива, опасность и трендовость уязвимостей при приоритизации; осуществлять регулярный анализ защищенности систем и приложений; отслеживать активность в дарквебе для выявления наиболее актуальных угроз. Определение адекватных сроков устранения уязвимостей и контроль за процессом патчинга — также очень важные шаги.

Для выполнения этих рекомендаций рационально использовать современные системы управления уязвимостями, например MaxPatrol VM. Применение специализированных инструментов позволяет своевременно выявлять и устранять опасные уязвимости как на сетевом периметре, так и внутри IT-инфраструктуры: сведения об актуальных уязвимостях доставляются в такие системы, как MaxPatrol VM, в течение 12 часов. Регулярный мониторинг состояния целевых и ключевых систем помогает избежать недопустимых событий, связанных с эксплуатацией уязвимостей на важных активах.

ИТ-компаниям необходимо выстраивать процессы безопасной разработки, чтобы выявлять слабые места в коде и устранять их еще на этапе написания ПО, что повышает качество и безопасность программного продукта. Для этого стоит применяться решения классов SAST и DAST, например, статический анализатор PT Application Inspector и PT BlackBox.

Если устранить уязвимость невозможно в кратчайшие сроки, то для минимизации ущерба мы рекомендуем использовать продукты класса NTA (Network Traffic Analysis) и NGFW (Next Generation Firewall), например, PT NAD и PT NGFW. NGFW сможет заблокировать попытки эксплуатации уязвимостей, а NTA позволит выявить попытки злоумышленников проэксплуатировать уязвимости уже внутри сетей и подтвердить факт успешной эксплуатации. Это позволит вовремя обнаружить и заблокировать действия хакеров в инфраструктуре.

  1. Исследование «Последствия несвоевременного устранения уязвимостей (2022–2023 гг.)».
  2. Включают в себя уязвимости сетевых протоколов, открытых портов, слабых паролей или отсутствия мер безопасности. Такие уязвимости позволяют злоумышленникам проникнуть в систему через интернет.