Ситуация в сфере кибербезопасности за последнее время заметно ухудшается: учащаются вирусные атаки, сам вирус становится сложнее и изощреннее. Особенно подвержены нападениям компании, которые могут представлять интерес для киберпреступного мира.
Непрерывная борьба между криминальными хакерами и специалистами по кибербезопасности не имеет возможности завершиться, так как злоумышленники все время ищут лазейки в системах информационной безопасности.
Для того, чтобы облегчить работу специалистов по ИБ и помочь им справиться с самыми распространенными уязвимостями кибербезопасности, была создана база данных CVE.
Международная база CVE
CVE (Common Vulnerabilities and Exposures) — единая стандартизированная база всех существующих в мире уязвимостей. Это известная база данных масштабного профиля. Она представляет собой каталог, где собраны все уязвимости, что были обнаружены всемирными организациями.
В базе каждому найденному багу присваивается свой уникальный ID, что содержит в себе год обнаружения и номер уязвимости. В базе также можно найти дополнительную информацию: описания, ссылки на патчи, документы, комментарии разработчиков. Обмен такой информацией помогает обнаружить бреши в системе и минимизировать риски кибератак.
На сегодняшний день в CVE базе представлено более 150 тыс. уязвимостей. Защититься от каждой из них практически невозможно. Но, можно предотвратить атаки на вашу систему ИБ, если знать какие уязвимости часто используются злоумышленниками.
Компания Cognyte, лидер рынка по программному обеспечению для аналитики безопасности, провела анализ форумов Deep и Dark Web, чтобы обнаружить самые популярные CVE среди злоумышленников за последний год.
Анализ подпольных форумов, проведенный компанией Cognyte
Израильская компания Cognyte провела анализ подпольных форумов по киберпреступности для того, чтобы выяснить какие уязвимости наиболее интересны и обсуждаемы злоумышленниками. Анализ проводился в период с января 2020 по март 2021 года; данные брались с 15 форумов «темной сети». В составленных отчетах компания выделила те CVE уязвимости безопасности, которые упоминались чаще всего, что дает возможность прогнозировать намерения киберпреступников о предстоящих атаках. Публикация этих отчетов поможет специалистам информационной безопасности определиться, где необходимо усилить защиту и откуда остерегаться нападений.
Рейтинг наиболее популярных уязвимостей среди киберпреступников
Для составления рейтинга отбирались самые интересные для хакеров бреши в системах ИБ. В этом списке уязвимости, которые затрагивают различного рода программное обеспечение, удаленное подключение, работу в облаке, использование VPN канала:
- CVE-2020-1472
- CVE-2020-0796
- CVE-2019-19781
- CVE-2019-0708
- CVE-2017-11882
- CVE-2017-0199
Самые распространенные уязвимости: как защититься?
Несмотря на то, что метод получения такого рейтинга довольно-таки спорный, все же стоит обратить внимание на первые три уязвимости в списке, которые были самыми обсуждаемыми на криминальных форумах.
ZeroLogon — CVE-2020-1472
В чем суть?
Виной всему несовершенство Netlogon Remote Protocol, который нужен для идентификации сотрудника или компьютера в сети. Этот прокол в ПО Microsoft позволяет киберпреступникам выдавать себя за клиентский компьютер и менять пароль контроллера домена, заполучив управление в свои руки. Таким образом, злоумышленники приобретают права и становятся администраторами домена.
Кому угрожает?
Представляет угрозу компаниям, у которых контроллеры доменов управляются OS Microsoft:
- Windows Server следующих версий- 1809, 1903, 1909
- Windows Server 2008, 2012, 2016
Как защититься?
Исправления для этой уязвимости выпускались в несколько этапов и доступны для обновления системы. Кроме того, компания Майкрософт предлагает переводить контроллер домена в условия, когда протокол Netlogon Remote используется устройствами в безопасном режиме.
SMBGhost — CVE-2020-0796
В чем суть?
Уязвимости подвергается протокол SMB V3.1.1, необходимый в системах для удаленного подключения к расшаренным папкам, печатающим устройствам и другим сетевым ресурсам. Благодаря этой уязвимости потенциальному атакующему не составит труда исполнить на стороне SMB-Сервер или SMB-Клиент произвольный код.
Кому угрожает?
Опасность возможной атаки грозит компаниям, что используют OS Windows 10 и Windows Server версий 1903 и 1909. Для старых версий ниже “десятки” угроза отсутствует.
Как защититься?
Защититься от атак можно установив выпущенный компанией Microsoft патч, который исправляет саму RCE-уязвимость.
Citrix — CVE-2019-19781
В чем суть?
В случае эксплуатации данной уязвимости атакующий напрямую попадает в локальную сеть компаний из сети интернет, даже без доступа к учетным записям.
Кому угрожает?
Угрозе подвержены все компании, которые пользуются продуктами и платформами Citrix, включая решения NetScaler ADC и Gateway.
Как защититься?
Исправить ситуацию помогает обновление, выпущенное разработчиками Citrix.
По итогам анализа компании Cognyte можно сделать следующие выводы:
- Пять из шести уязвимостей в представленном списке связаны с Microsoft. Учитывая популярность использования продуктов этой компании, можно предположить, что кибератаке может быть подвержен практически каждый пользователь информационных систем.
- Несмотря на быстрое реагирование компаний-разработчиков на найденные уязвимости в своих продуктах и предоставление патчей для закрытия проблемы, атаки продолжаются спустя много лет. Так, например, в отчет компании Cognyte попала 9-летняя уязвимость CVE-2012-0158, которой пользовались злоумышленники еще в разгар пандемии Ковид-19 в 2020 году. А значит, компании не спешат обновлять свои системы безопасности и не предпринимают меры для предотвращения потенциальных атак.
Специалисты компании TechExpert способны провести качественный ИТ-аудит вашей ИТ-инфраструктуры и подобрать лучшие услуги и решения по кибербезопасности, которые смогут защитить вас и ваш бизнес полноценно. Для получения консультации свяжитесь с нами.