На краю пропасти: как компаниям бороться с трендовыми уязвимостями

Cовременные подходы в информационной безопасности превращаются для компаний в рабочие процессы. Так, еще недавно вся IT-индустрия шла к контейнеризации, а исследования безопасности и механизмов защиты облачных сред были в новинку. Сейчас эта тема волнует почти каждую компанию уже на этапе разработки архитектуры продуктов. Направление безопасности приложений, которое ранее было сосредоточено лишь на использовании статических и динамических анализаторов, фокусируется на безопасности зависимостей. Несомненно, это огромный шаг вперед. Но далеко не всегда новые направления могут полностью закрыть старые проблемы, хорошо известные специалистам по ИБ. Пример тому — контроль за активами в инфраструктуре компании и их защищенность от известных уязвимостей.

Почему знать об уязвимостях важно

Для начала необходимо понять, как вообще атакующие работают с уязвимостями. Цель злоумышленника, эксплуатирующего недостатки в программном обеспечении, — с их помощью провести успешную атаку, например зашифровать, уничтожить или украсть данные. Успех атаки зависит от того, знает ли потенциальная жертва о брешах в защите или нет, от установки обновлений и от конфигурации атакуемых систем. Уязвимость нулевого дня, то есть такая, о которой никому пока не известно, является для преступника наилучшим вариантом. Но у каждой атаки кроме цели есть и стоимость: злоумышленникам желательно затратить как можно меньше ресурсов (времени и денег). Для создания эксплойта, использующего уязвимость нулевого дня, атакующим необходимо как минимум:

1. Обнаружить недостаток.
2. Убедиться, что он является уязвимостью.
3. Определить список подверженных уязвимости версий ПО.
4. Составить сценарий эксплуатации.
5. Создать proof of concept эксплойта.

И это далеко не полный список! Но если жертва атаки обновляет свои системы нерегулярно и пренебрегает защитой конфигурации систем (что бывает весьма часто), то получается, что атакующему легче использовать уже известные уязвимости. Это значительно сокращает затраты злоумышленника и количество необходимых ему действий при подготовке: достаточно нескольких относительно простых шагов. Если уже есть подходящий эксплойт — в целом можно атаковать. При этом нарушителю важно избежать обнаружения внутренней службой ИБ (если, конечно, она вообще способна своевременно выявить атаку и среагировать на инцидент).

Таким образом, часто при прочих равных злоумышленнику проще потратить меньше ресурсов и воспользоваться известной брешью (иногда для нее даже есть публичный эксплойт), чем искать уязвимость нулевого дня и писать эксплойт самому. За счет более низкого порога входа увеличивается и число атакующих, поскольку и для поиска уязвимостей нулевого дня, и для разработки эксплойта требуются высокая квалификация и гораздо больше времени и ресурсов. А при росте количества атакующих растет и количество атак.

Все вышесказанное свидетельствует о том, что знать о наличии в инфраструктуре компании известных, зарегистрированных уязвимостей — очень ценно.

Сложности в устранении уязвимостей

При обновлении ПО и устранении брешей в защите перед компаниями стоят следующие задачи:

1. Поиск источника актуальной информации об уязвимостях.
2. Постоянная актуализация знаний об инфраструктуре, какой бы большой она ни была.
3. Регулярное и быстрое обновление всего, что есть в компании, — с учетом требований к минимальной деградации сервисов на время такого обновления.

При этом самой серьезной проблемой обычно является решение третьей задачи. Причины отсутствия регулярных быстрых обновлений практически всегда сводятся к одному: большинство компаний еще недостаточно зрелые, чтобы полностью обеспечить этот процесс. Особенно тяжко с системами, каждая минута деградации которых стоит крупной суммы денег. Несмотря на это, очевидно, что эксплуатация хакерами уязвимостей в тех же системах может обойтись организации еще дороже. Значит, нужен какой-то выход.

Тренды и приоритизация

Выходом станет приоритизация. Это подход, при котором работа ведется в первую очередь с трендовыми уязвимостями, то есть с теми, которые атакующие уже активно используют или начнут использовать в ближайшее время. MaxPatrol VM помогает обнаруживать такие недостатки и принимать верное решение о том, какие из них закрывать как можно скорее.

Определим, какие вообще уязвимости могут быть трендовыми. Например, рассмотрим недостатки, позволяющие повысить привилегии в операционных системах. Злоумышленникам требуется повышать привилегии в системе, чтобы закрепиться в инфраструктуре и развить атаку дальше. Для этого нередко используются бреши в защите, позволяющие выполнить локальное повышение привилегий (LPE). Но с ними есть сложность: их часто находят и достаточно оперативно устраняют. В моменте злоумышленнику под задачу подходит одна уязвимость с эксплойтом, но через пару месяцев или через полгода она уже будет пропатчена у многих потенциальных жертв, а значит, атакующему потребуется более актуальная брешь.

К примеру, в Win32k (компонент Windows) возможна эскалация привилегий — CVE-2023-29336. Уязвимость была раскрыта в майский Microsoft Patch Tuesday, а данные — оперативно доставлены в MaxPatrol VM. Мы оценили ее как трендовую, так как допускали большую вероятность появления эксплойта. Это оправдалось уже через месяц: 7 июня вышел публичный proof of concept, который злоумышленники могут «докрутить» для своих нужд.

Уязвимость, которая затронула подавляющую часть дистрибутивов с ядром Linux в стандартной комплектации, — CVE-2023-0386. Этот недостаток содержится в подсистеме ядра OverlayFS и приводит к тому, что злоумышленник с минимальными привилегиями может повысить свои права в системе до прав суперпользователя. В отличие от других LPE-уязвимостей на Linux, для ее эксплуатации требуется значительно меньше условий и нет существенных ограничений. На момент выхода proof of concept в публичный доступ патч был только выпущен и далеко не все компании успели обновиться.

Среди трендовых уязвимостей есть и такие, которые помогают атакующим проникнуть через периметр организации. Например, уязвимость нулевого дня CVE-2023-27997 в FortiOS, для которой есть публичный эксплойт. Продукты Fortinet часто используются для защиты периметра, и этот недостаток уже эксплуатировали внешние злоумышленники. С помощью специально подготовленного сетевого пакета атакующие переполняли буфер и вызывали удаленное выполнение кода с правами суперпользователя.

Трендовая уязвимость — первый шаг к недопустимому событию

Теперь рассмотрим трендовые уязвимости, которые могут стать ключевыми в реализации недопустимых событий. Например, для пользователей продукта SAP Business Suite, который неразрывно связан с бизнес-процессами, такой является CVE-2021-33690 в сервисе сборки SAP NetWeaver. Из-за широкой кастомизации и ограничений доступа со стороны вендора недостатки подобных продуктов сложны для исследований. Несмотря на то что это уязвимость 2021 года, исследователи опубликовали статью о находке только 1 июня 2023 года. В материале содержится краткое описание деталей, по которому после выпуска статьи злоумышленникам стало значительно легче воспроизводить атаку. Учитывая нетерпимость к деградации решений для бизнеса и количество пользовательских доработок, обновлять продукт компаниям сложно, особенно большим. По нашим оценкам, все еще остается достаточное количество организаций, для которых атака с использованием этой уязвимости может закончиться реализацией недопустимого события.

Мы постоянно изучаем актуальный ландшафт киберугроз и фиксируем все изменения, чтобы верно оценить потенциал известных уязвимостей. На основе этих знаний мы обогащаем наш продукт, MaxPatrol VM, экспертизой: так наши клиенты получают максимум информации о базовых рисках, которые несут известные недостатки и которым подвержена их инфраструктура. Данные о самых опасных трендовых уязвимостях мы доставляем в продукт за 12 часов, чтобы предотвратить реализацию недопустимых событий. Оперативную информацию и рекомендации мы публикуем в нашем телеграм-канале.

Автор: Егор Подмоков, заместитель руководителя отдела экспертных сервисов PT Expert Security Center, Positive Technologies

Реклама. Рекламодатель www.ptsecurity.com