2024/02/12 10:04:54

Уязвимости в ПО и оборудовании

Содержание

2024
2023
2022
2021
- Обнаружение 28 695 тыс. уязвимостей в ПО по всему миру
- Число уязвимостей в ПО оказывается рекордным пятый год подряд
Смотрите также
Примечания

2024

Роскомнадзор запустил «Сканер безопасности» для поиска критических уязвимостей в Рунете. Уже найдено 26 тыс. проблем

Роскомнадзор обнаружил более 26 тысяч критических уязвимостей в российском сегменте интернета с помощью системы «Сканер безопасности», работающей в тестовом режиме с 2024 года. Об этом 24 октября 2024 года сообщил директор Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора Сергей Хуторцев. Подробнее здесь.

Власти в США предупредили о дырах в ПО Veeam — они используются для атак вирусов-вымогателей

17 октября 2024 года Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) сообщило об обнаружении опасной уязвимости в программном обеспечении Veeam. Брешь эксплуатируется киберпреступниками для внедрения в ИТ-инфраструктуру жертв вирусов-вымогателей. Подробнее здесь.

Хакеры зашифровали инфраструктуру промышленной компании с помощью неустранимого изъяна Windows

Проукраинские киберпреступники вывели из строя ИТ-инфраструктуру российской промышленной компании, используя изъян Windows. Речь идет об известном с 2022 года недостатке взаимодействия операционной системы с цифровыми подписями драйверов. Об этом «Солар» сообщил 26 августа 2024 года. Подробнее здесь.

Хакеры годами захватывали коммутаторы Cisco из-за дыры в оборудовании с завода

1 июля 2024 года корпорация Cisco сообщила об обнаружении уязвимости «нулевого дня» в своей операционной системе NX-OS, которая применяется на коммутаторах серии Nexus. Известно, что злоумышленники годами использовали эту брешь для захвата контроля над сетевым оборудованием американского производителя. Подробнее здесь.

Власти США: Хакеры многие годы используют дырявое ПО Oracle для незаконной добычи криптовалют

В конце мая 2024 года Агентство по кибербезопасности и защите инфраструктуры (CISA) США сообщило о том, что китайские хакеры годами используют уязвимости в программном обеспечении Oracle для незаконной добычи криптовалют. Причем злоумышленники постоянно совершенствуют свои методы, что затрудняет их обнаружение и защиту от вторжений. Подробнее здесь.

Эксперты МТУСИ исследовали уязвимость Downfall в процессорах Intel

В процессорах семейства Intel, выпущенных за последние восемь лет, найдена уязвимость Downfall, позволяющая злоумышленникам похищать персональные данные пользователей, в том числе банковские, ключи шифрования и нарушать конфиденциальность. В числе жертв оказались физические лица, компании и центры обработки данных. Об этом TAdviser рассказали представители МТУСИ 16 января 2024 года. Специалисты вуза по информационной безопасности протестировали уязвимость Downfall и представили отчет о последствиях, к которым она приводит. Подробнее здесь.

2023

Только 14% вендоров оперативно исправляют уязвимости, найденные исследователями безопасности

Эксперты Positive Technologies проанализировали собственный опыт взаимодействия с вендорами в области раскрытия уязвимостей. Так, в 2022–2023 годах 57% вендоров оперативно отвечали исследователям компании, при этом только 14% всех производителей программного обеспечения выпускали обновления в оптимально короткие сроки.

Впервые обнаруженные недостатки безопасности, о которых производитель ПО не знает и для которых еще не существует исправлений, называются уязвимостями нулевого дня. Как только вендор узнает о таком недостатке, становится крайне важно своевременно выпустить исправление, поскольку задержки позволяют злоумышленникам все чаще эксплуатировать такие уязвимости в своих атаках.Метавселенная ВДНХ 2.7 т

Число обнаруженных уязвимостей постоянно растет: в 2023 году их количество (28 902) превысило показатели предыдущих двух лет на 42% и 14% соответственно. Кроме этого, каждый взлом и утечка обходятся бизнесу все дороже: средняя стоимость утечки, по данным IBM, за последние три года выросла на 15%, достигнув 4,45 млн долларов США. В связи с этим особое значение для укрепления защиты приобретает построение доверительных и прозрачных отношений между поставщиками ПО и исследователями ИБ.

Промедление в ответственном раскрытии информации об уязвимостях чревато и ростом числа атак на цепочки поставок: за первые три квартала 2023 года количество инцидентов, вызванных атаками подобного типа, выросло в два раза по сравнению с показателями за весь 2022 год.

Positive Technologies придерживается принципов координированного раскрытия в случае обнаружения уязвимостей в продуктах вендоров. При таком формате ответственного разглашения в процессе участвуют не только исследователи и производитель ПО, но и регуляторы и организации, которые выступают посредниками во взаимодействии с поставщиками.

Исследователи Positive Technologies из команды PT SWARM за 2022 и 2023 годы выявили более 250 уязвимостей (70% из которых — высокого и критического уровня опасности) в программном и аппаратном обеспечении 84 вендоров. При этом мы сталкиваемся с производителями ПО совершенно разного уровня зрелости. Только у каждого четвертого из них на сайте есть контакты для связи на такой случай и хоть какая-то политика ответственного разглашения. Мы призываем вендоров к выстраиванию прозрачного и взаимовыгодного сотрудничества со специалистами кибербезопасности, потому что только сообща можно своевременно выявлять и исправлять уязвимости ПО, противостоять натиску киберпреступности в интересах всех сторон. Ответственные компании прежде всего сами выигрывают от такого сотрудничества: повышают уровень защищенности своих решений, создают положительный имидж, привлекают новых клиентов и укрепляют конкурентоспособность на рынке, — отметил Федор Чунижеков, старший аналитик исследовательской группы Positive Technologies.

Cisco призналась в существовании в своей ОС неподдающейся исправлению критической дыры и просит пользователей отключить оборудование

16 октября 2023 года компания Cisco сообщила об обнаружении критической дыры в своей операционной системе IOS XE, которая используется на различных сетевых устройствах. Брешь активно эксплуатируется злоумышленниками, а исправления для нее по состоянию на указанную дату не существует. Подробнее здесь.

ФСТЭК: Разработчики ПО регулярно нарушают требования по срокам устранения уязвимостей в своих продуктах

Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей в своих продуктах. Об этом в ведомстве рассказали в октябре 2023 года. Там отметили «недостаточную эффективность поддержки ПО».

Речь идет о соблюдении требований регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК, поясняет «Коммерсантъ». Производитель софта в случае поступления информации о потенциальной уязвимости в своем ПО должен в течение 30 или 60 дней в зависимости от уровня угрозы принять меры к ее устранению, например разработать правку (патч) для ПО.

Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей

Глава совета директоров «Базальт СПО» Алексей Смирнов в разговоре с изданием сообщил, что нарушение регламента ФСТЭК может грозить отзывом у ПО сертификата. Это закроет для разработчика возможности поставок своих продуктов госзаказчикам, которые требуют от поставщиков сертифицированный софт. Гендиректор Factory5 Денис Касимов отметил, что российские разработчики софта «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Он считает, что такое положение дел связано с возросшим спросом на отечественные продукты, из-за чего увеличилась нагрузка на специалистов техподдержки всех уровней.

Некоторым компаниям, возможно, не хватает специалистов, которые бы занимались отработкой инцидентов безопасности, а у кого-то на это банально нет денег, сообщила газете директор по разработке ООО «Аурига» Елена Баранова.

Для сокращения времени на обработку запроса требуются отдельные сервисные команды, что для российских разработчиков может оказаться слишком дорого, – сказала она.

По словам главы комитета по информбезопасности ассоциации «Отечественный софт» Романа Карпова, существенная доля сертифицированного ФСТЭК российского ПО основана на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество».^[1]

Juniper Networks призналась в дырявости своих ОС и устройств. Хакеры используют это в DDoS-атаках

29 августа 2023 года американская компания Juniper Networks, производитель оборудования для интернет-провайдеров, корпораций и государственного сектора, сообщила о выявлении ряда уязвимостей в своих сетевых устройствах. Дыры позволяют киберпреступникам организовывать DDoS-атаки. Подробнее здесь.

Власти США предупредили о дырах в ПО Citrix. Из-за них хакеры могут легко украсть данные компаний

16 августа 2023 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило о том, что сетевые злоумышленники атакуют предприятия через уязвимости в программном обеспечении Citrix. Дыры в числе прочего позволяют красть конфиденциальную информацию. Подробнее здесь.

Две трети межсетевых экранов Fortinet оказались дырявыми. На них можно легко запустить произвольный код

Более двух третей межсетевых экранов Fortinet, находящихся в эксплуатации, содержат критически опасную уязвимость, которой могут воспользоваться киберпреступники для захвата контроля над оборудованием. Об этом говорится в исследовании Bishop Fox, результаты которого обнародованы 30 июня 2023 года. Подробнее здесь.

Роскомнадзор создает платформу для борьбы с уязвимостями российских сайтов

На базе Центра мониторинга и управления сетью связи общего пользования создается система сканирования, которая позволит выявить уязвимости информационной безопасности российских сервисов, предоставляя возможность их оперативного устранения. Об этом пресс-служба Роскомнадзора сообщила 9 июня 2023 года. Подробнее здесь.

Microsoft призналась во взломе почтового сервиса Outlook. Пострадали европейские правительственные, военные и энергетические компании

В середине марта 2023 года корпорация Microsoft сообщила о продолжительной кибератаке, нацеленной на почтовый сервис Outlook. Жертвами хакеров стали правительственные, военные, транспортные и энергетические компании в Европе. Подробнее здесь.

Критические дыры нашли в контроллерах Schneider Electric, используемых в аэропортах, энергетике и горнодобывающей промышленности

В середине февраля 2023 года исследователи из Forescout объявили об обнаружении ряда серьёзных уязвимостей в системах управления производственными процессами Schneider Electric. Подробнее здесь.

2 года хакеры используют дыру в ПО VMware для успешных атак вирусов-вымогателей

В начале февраля 2023 года Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупредила о распространении новой программы-вымогателя, получившей название ESXiArgs. Она проникает в системы жертв через дыру в серверном программном обеспечении VMware. Подробнее здесь.

Дыра в мессенджере Signal позволяет кому угодно просматривать вложения в переписках

В конце января 2023 года специализирующийся на вопросах информационной безопасности Джон Джексон опубликовал исследование о двух уязвимостях, обнаруженных им в настольном клиенте мессенджера Signal. Они получили обозначение CVE-2023-24069 и CVE-2023-24068. Подробнее здесь

Власти США предупредили об опасных дырах в промышленном ПО Siemens и GE

17 января 2023 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило об обнаружении опасных уязвимостей в промышленном программном обеспечении (ПО) производства Siemens, GE Digital и Contec. Подробнее здесь.

Хакеры получили контроль над устройствами TP-Link

11 января 2023 года Национальный институт стандартов и технологий США (NIST) обнародовал два бюллетеня безопасности с информацией об уязвимостях в маршрутизаторах Netcomm и TP-Link. Злоумышленники, в частности, могут захватить полный контроль над устройством. Подробнее здесь.

Брак материнских плат, который позволяет запускать ОС без проверки их безопасности

13 января 2023 года польский исследователь в области ИТ-безопасности Давид Потоцкий (Dawid Potocki) сообщил об обнаружении опасной уязвимости примерно в 300 моделях материнских плат MSI. Брешь позволяет загружать любой образ операционной системы независимо от того, имеет ли он цифровую подпись. Подробнее здесь.

Как хакеры атакуют правительства через дырявые VPN-устройства Fortinet

В середине января 2023 года стало известно о том, что киберпреступники используют уязвимость нулевого дня FortiOS SSL-VPN для проведения атак на правительственные организации и цели, связанные с государственными структурами. Подробнее здесь.

Злоумышленники получают контроль над устройствами из-за существовании критических дыр роутерах

11 января 2023 года компания Cisco сообщила о наличии двух критических уязвимостей в веб-интерфейсе управления некоторых своих маршрутизаторов для малого бизнеса. Дыры позволяют удалённому злоумышленнику захватить контроль над устройством. Подробнее здесь.

2022

Microsoft признала дыру в серверах Exchange, через которую распространяют вирусы-вымогатели

В конце декабря 2022 года исследователи в области информационной безопасности из компании CrowdStrike сообщили об обнаружении нового набора эксплойтов ProxyNotShell для атак на серверы Microsoft Exchange. Подробнее здесь.

Netgear признала существование критических дыр в маршрутизаторах Nighthawk

28 декабря 2022 года компания Netgear выпустила обновление программного обеспечения для ряда своих маршрутизаторов Wi-Fi: апдейт устраняет опасную уязвимость, которая может эксплуатироваться злоумышленниками в том числе с целью организации DDoS-атак. Подробнее здесь.

В колонках Google нашли дыру, позволяющую кому угодно прослушивать пользователей

26 декабря 2022 года стало известно о серьёзной уязвимости в умных колонках Google Home, которая позволяет злоумышленнику получить удалённый доступ к устройству и подслушать разговоры пользователей. Подробнее здесь.

В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости

В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости. Такие данные 22 ноября 2022 года сообщила компания Positive Technologies. В топ-10 самых часто встречающихся в компаниях трендовых уязвимостей вошли известные уязвимости в продуктах Microsoft, большинство из них в компонентах ОС Windows и пакетах Microsoft Office. Подробнее здесь.

Создан новый метод кибератаки на космические корабли

15 ноября 2022 года Мичиганский университет (США) сообщил об обнаружении серьёзной уязвимости в сетевой технологии, широко используемой в критически важных инфраструктурах, таких как космические корабли, самолёты, системы производства энергии и промышленные системы управления. Подробнее здесь.

Национальный ИБ-центр Британии признал сканирование всех интернет-устройств в стране

В начале ноября 2022 года национальный центр кибербезопасности Британии запустил программу, которая будет постоянно сканировать каждое подключенное к интернету устройство, расположенное в Соединенном Королевстве, на наличие уязвимостей, чтобы помочь правительству реагировать на угрозы нулевого дня. Подробнее здесь.

2021

Обнаружение 28 695 тыс. уязвимостей в ПО по всему миру

В 2021 году было обнаружено в общей сложности 28 695 тыс. уязвимостей в программных продуктах по всему миру. Такие данные аналитики из Risk Based Security в своем отчете в середине февраля 2022 года.

28 тыс. уязвимостей является рекордным за всю историю, и показатель наглядно демонстрирует степень риска, с которым сталкиваются организации и команды безопасности по всему миру. Risk Based Security прогнозирует, что количество раскрытых уязвимостей в будущем будет продолжать расти из года в год.

За 2021 год выявлено рекордное количество уязвимостей в ПО по всему миру

По словам экспертов, большое количество уязвимостей пришлось пересмотреть и обновить по мере появления обновленной информации о решениях, ссылок и дополнительных метаданных, что еще раз демонстрирует напряженную рабочую нагрузку, с которой ежедневно сталкиваются команды по информационной безопасности.

Несмотря на то, что ситуация с раскрытием уязвимостей улучшилась после начала пандемии коронавируса COVID-19, не было никаких праздничных фанфар. Теперь все возвращается на круги своя, а это означает, что количество раскрытий уязвимостей, скорее всего, вернется в привычную колею, увеличиваясь с каждым годом. Обновление предыдущих записей жизненно важно, потому что если уязвимость раскрыта и не согласована с поставщиком, могут пройти дни, месяцы или даже годы, прежде чем появится решение, - сказал вице-президент по анализу уязвимостей в Risk Based Security Брайан Мартин (Brian Martin).

В случае, когда организация или компания внедрила средства защиты, все равно крайне важно установить исправление или обновление, когда оно станет доступно. В случае, если программное обеспечение не обновляются с последующей информацией об устранении, то компания упускает важные данные, необходимые для реального снижения рисков, связанных с уязвимостями внутри бизнеса.^[2]

Число уязвимостей в ПО оказывается рекордным пятый год подряд

8 декабря 2021 года Национальный институт стандартов и технологий (NIST) опубликовал исследование, в котором сообщил о рекордном количестве уязвимостей в программном обеспечении. Причем максимум обновляется пятый год подряд.

В 2021 году выявлено в общей сложности 18 378 уязвимостей. Число зарегистрированных уязвимостей высокой степени опасности сократилось до 3646 в 2021 году по сравнению с 4381 в 2020 году. Количество зарегистрированных уязвимостей среднего риска составило 11 767, а число уязвимостей низкого риска составило 2965, что больше, чем в 2020 году.

Число уязвимостей в ПО оказывается рекордным пятый год подряд

Исследователи из Redscan Cyber Security проанализировали цифры в этом отчете и обнаружили, что в среднем в NIST регистрировалось около 50 слабостей и уязвимостей или CVE каждый день до 2021 года. Из них 90% могут быть использованы злоумышленниками с ограниченными техническими навыками, в то время как 61% CVE не требуют взаимодействия с пользователем, такого как переход по ссылке, загрузка файла или обмен учетными данными.

Доля уязвимостей, для использования которых хакерам не нужно использовать привилегии администраторов и т. п., снизился в 2021 году до 55 % с 59 % в 2020 году и 66 % в 2019 году. Уязвимости с высоким рейтингом конфиденциальности, то есть, вероятно, оказывающие влияние на конфиденциальные данные, снизились с 59 % до 53 % CVE за последние 12 месяцев.

Неудивительно, что количество новых уязвимостей в 2021 году превышает показатели 2020 года, - сказал Янив Бар-Даян, соучредитель и исполнительный директор компании по управлению киберрисками Vulcan Cyber. - Число уязвимостей будет увеличиваться в соответствии с темпами и масштабами внедряемых нами технологий, и мы привыкли ожидать и учитывать неотъемлемый риск в нашей цифровой жизни.

Если группы ИТ-безопасности оставляют без внимания уязвимости 2020 года, реальное число на 2021 год будет кумулятивным, и защититься от них будет становится все труднее и труднее, - сказал он.

Бад Брумхед, генеральный директор Viakoo, поставщика корпоративной платформы безопасности, отметил, что, несмотря на меньшее количество уязвимостей высокой степени опасности в 2021 году, отчет, тем не менее, вызывает тревогу.

Настоящая проблема заключается в том, сколько уязвимостей, которыми можно воспользоваться, остается неизвестным, которыми злоумышленники могли бы воспользоваться, - пояснил Брумхед. - Рекордное количество новых уязвимостей в сочетании с медленными темпами обновления устройств для устранения уязвимостей означает, что риск взлома организаций выше, чем когда-либо, особенно через устройства, подключенных к Интернету.^[3]