Ситуація в сфері кібербезпеки останнім часом помітно погіршується: частішають вірусні атаки, сам вірус стає складнішим і витонченішим. Особливо піддаються нападкам компанії, які можуть представляти інтерес для кіберзлочинного світу.
Безперервна боротьба між кримінальними хакерами і фахівцями з кібербезпеки не має можливості завершитися, так як зловмисники весь час шукають лазівки в системах інформаційної безпеки.
Для того, щоб полегшити роботу фахівців з ІБ і допомогти їм впоратися з найпоширенішими вразливостями кібербезпеки, була створена база даних CVE.
Міжнародна база CVE
CVE (Common Vulnerabilities and Exposures) – єдина стандартизована база всіх існуючих в світі вразливостей. Це відома база даних масштабного профілю. Вона являє собою каталог, де зібрані всі вразливості, що були виявлені всесвітніми організаціями.
У базі кожному знайденому багу присвоюється свій унікальний ID, що містить в собі рік виявлення і номер вразливості. У базі також можна знайти додаткову інформацію: опис, посилання на патчі, документи, коментарі розробників. Обмін такою інформацією допомагає виявити прогалини в системі і мінімізувати ризики кібератак.
На сьогоднішній день в CVE базі представлено понад 150 тис. вразливостей. Захиститися від кожної з них практично неможливо. Але, можна запобігти атакам на вашу систему ІБ, якщо знати, які вразливості часто використовуються зловмисниками.
Компанія Cognyte, лідер ринку з програмного забезпечення для аналітики безпеки, провела аналіз форумів Deep і Dark Web, щоб виявити найпопулярніші CVE серед зловмисників за останній рік.
Аналіз підпільних форумів, що був проведений компанією Cognyte
Ізраїльська компанія Cognyte провелааналіз підпільних форумів з кіберзлочинності для того, щоб з’ясувати які вразливості найбільш цікаві та обговорювані зловмисниками. Аналіз проводився в період з січня 2020 по березень 2021 роки; дані бралися з 15 форумів «темної мережі». У складених звітах компанія виділила ті CVE вразливості безпеки, які згадувалися найчастіше, що дає можливість прогнозувати наміри кіберзлочинців щодо майбутніх атак. Публікація цих звітів допоможе фахівцям інформаційної безпеки визначитися, де необхідно посилити захист і звідки остерігатися нападів.
Рейтинг найбільш популярних вразливостей серед кіберзлочинців
Для складання рейтингу відбиралися найцікавіші для хакерів проколи в системах ІБ. У цьому списку вразливості, які стосуються різного роду програмного забезпечення, віддаленого підключення, роботи в хмарі, використання VPN каналу:
- CVE-2020-1472
- CVE-2020-0796
- CVE-2019-19781
- CVE-2019-0708
- CVE-2017-11882
- CVE-2017-0199
Найпоширеніші вразливості: як захиститися?
Незважаючи на те, що метод отримання такого рейтингу досить-таки спірний, все ж варто звернути увагу на перші три вразливості в списку, які були найбільш обговорюваними на кримінальних форумах.
ZeroLogon – CVE-2020-1472
В чому суть?
Виною всьому недосконалість Netlogon Remote Protocol, який потрібен для ідентифікації співробітника або комп’ютера в мережі. Цей прокол в ПО Microsoft дозволяє кіберзлочинцям видавати себе за клієнтський комп’ютер і змінювати пароль контролера домену, отримавши управління в свої руки. Таким чином, зловмисники набувають права і стають адміністраторами домену.
Кому загрожує?
Становить загрозу компаніям, у яких контролери доменів керуються OS Microsoft:
- Windows Server наступних версій – 1809, 1903, 1909
- Windows Server 2008, 2012, 2016
Як захиститися?
Виправлення для цієї вразливості випускалися в кілька етапів і доступні для оновлення системи. Крім того, компанія Майкрософт пропонує переводити контролер домену в умови, коли протокол Netlogon Remote використовується пристроями в безпечному режимі.
SMBGhost – CVE-2020-0796
В чому суть?
Вразливості піддається протокол SMB V3.1.1, необхідний в системах для віддаленого підключення до розшарених папок, друкуючих пристроїв та інших ресурсів мережі. Завдяки цій вразливості потенційному атакуючому неважко виконати на стороні SMB-Сервер або SMB-Клієнт довільний код.
Кому загрожує?
Небезпека можливої атаки загрожує компаніям, що використовують OS Windows 10 і Windows Server версій 1903 і 1909. Для старих версій нижче “десятки” загроза відсутня.
Як захиститися?
Захиститися від атак можна встановивши випущений компанією Microsoft патч, який виправляє саму RCE-вразливість.
Citrix – CVE-2019-19781
В чому суть?
У разі експлуатації даної вразливості атакуючий напряму потрапляє в локальну мережу компаній з мережі інтернет, навіть без доступу до облікових записів.
Кому загрожує?
Цій загрозі можуть піддаватись всі компанії, які користуються продуктами і платформами Citrix, включаючи рішення NetScaler ADC і Gateway.
Як захиститися?
Виправити ситуацію допомагає оновлення від розробників Citrix.
За підсумками аналізу компанії Cognyte можна зробити наступні висновки:
- П’ять з шести вразливостей в представленому списку пов’язані з Microsoft. З огляду на популярність використання продуктів цієї компанії, можна припустити, що кібератакам може бути підданий практично кожен користувач інформаційних систем.
- Незважаючи на швидке реагування компаній-розробників на знайдені вразливості в своїх продуктах і надання патчів для закриття проблеми, атаки продовжують тривати і через багато років. Так, наприклад, в звіт компанії Cognyte потрапила 9-річна вразливість CVE-2012-0158, якою користувалися зловмисники ще в розпал пандемії Ковід-19 в 2020 році. А значить, компанії не поспішають оновлювати свої системи безпеки і не вживають заходів для запобігання потенційних атак.