Security Week 2420: эксплуатация уязвимостей в ПО
7 мая исследователи «Лаборатории Касперского» опубликовали отчет со статистикой по обнаружению и эксплуатации уязвимостей в ПО. В публикации приводятся цифры за первый квартал 2024 года, по ряду параметров они сравниваются с данными с начала прошлого года.
Начнем с безусловно хороших новостей: количество обнаруженных и зарегистрированных в базе CVE уязвимостей неуклонно растет с 2019 года. В качестве причины авторы отчета указывают как распространение программ bug bounty, так и более широкое использование инструментов и методик для создания более безопасного кода. Для любого конкретного программного обеспечения рост обнаруженных уязвимостей не стоит расценивать как провал разработки. Наоборот, это косвенный признак более внимательного отношения к ПО с точки зрения безопасности.
На графике в начале статьи есть интересное дополнительное измерение: доля критических уязвимостей из числа зарегистрированных. Она также уверенно растет с 2019 года, в первом квартале 2024-го доля наиболее серьезных уязвимостей составила 4,67%. Еще одна любопытная метрика: для 13,14% уязвимостей, зарегистрированных в первом квартале 2024 года, были доступны публичные эксплойты. Очевидно, что такая ситуация увеличивает шансы на активную эксплуатацию уязвимостей злоумышленниками. Хотя это и не является обязательным критерием: эксплойты также активно перепродаются на черном рынке.
Общая статистика по наиболее часто эксплуатируемым уязвимостям уже довольно долго выявляет примерно одни и те же сферы интереса злоумышленников: это эксплойты для операционных систем, браузеров, а также для прикладного (Office) и серверного (Exchange, SharePoint) программного обеспечения Microsoft. По критерию популярности эксплойтов картина за первый квартал 2024 года заметно отличается от таковой за 2023 год. Значительно (с 34 до 50%) выросла доля эксплойтов для уязвимостей в коде ОС, а эксплойты для Microsoft Exchange применялись чаще, чем эксплойты для браузеров. Не стоит списывать со счетов и другие уязвимости в разнообразном прикладном и корпоративном ПО: атаки на них составляют примерно половину от общего числа инцидентов.
А вот так выглядит индивидуальный «хит-парад» наиболее часто эксплуатируемых уязвимостей за первый квартал 2024 года. На первом месте — критическая уязвимость в архиваторе WinRAR, закрытая в июле прошлого года. Два следующих места в списке занимают «вечные» уязвимости в Microsoft Office, закрытые (1, 2) еще в 2017 году. Отдельно приводится «топ» уязвимостей, используемых в таргетированных атаках: первые два места там заняли уязвимости в VPN-сервере Ivanti, а на третьем месте — все та же критическая проблема в WinRAR.
В подобную статистику наиболее свежие баги попадают с некоторой задержкой, поэтому авторы отчета отдельно отметили наиболее «выдающиеся» баги в программном обеспечении, обнаруженные в первом квартале. В этот список вошли бэкдор, внедренный в XZ Utils, баг CVE-2024–20656 в средстве разработки Visual Studio, а также проблема в утилите для запуска контейнеров runc в Linux, имеющая идентификатор CVE-2024–21626.
Наконец, в отчете приводится еще один аргумент, почему обновлять ПО надо как можно быстрее. На графике выше показано количество попыток эксплуатации уязвимости в архиваторе WinRAR. Уязвимость была закрыта в конце августа 2023 года, максимальное количество атак пришлось на октябрь, после чего активность злоумышленников постепенно снижалась, по мере того как пользователи обновлялись на новую версию.
Что еще произошло:
Еще один отчет «Лаборатории Касперского» посвящен эволюции атак с вымогательством в начале 2024 года.
После ряда успешных кибератак на собственную и клиентскую инфраструктуру Microsoft планирует усилить защищенность своих решений. Об этом стало известно из внутреннего письма гендиректора компании Сатьи Наделлы. В нем, в частности, говорится о том, что приоритет будет отдаваться безопасности даже в тех случаях, когда это наносит ущерб разработке новых функций или обратной совместимости.
10 мая компания Google закрыла пятую в этом году активно эксплуатируемую уязвимость в браузере Chrome. Уязвимость в компоненте для рендеринга веб-страниц получила идентификатор CVE-2024–4671, относится к типу use-after-free и может приводить к выполнению произвольного кода.
Неправильно сконфигурированный API привел к утечке 49 миллионов записей о клиентах компании Dell. Злоумышленник, позднее выставивший базу на продажу, зарегистрировался на партнерском портале компании и извлек данные простым перебором идентификаторов устройств, известных как Service Tag. На черный рынок попали имена и адреса клиентов, а также информация о приобретенном оборудовании.
Исследователи нашли способ «деанонимизации» VPN-трафика при помощи малоизвестной особенности протокола DHCP. Для того чтобы атака заработала, потенциальная жертва должна подключиться к сети, контролируемой атакующим.