2024/02/12 10:04:54

Уязвимости в ПО и оборудовании


Содержание

2024

Роскомнадзор запустил «Сканер безопасности» для поиска критических уязвимостей в Рунете. Уже найдено 26 тыс. проблем

Роскомнадзор обнаружил более 26 тысяч критических уязвимостей в российском сегменте интернета с помощью системы «Сканер безопасности», работающей в тестовом режиме с 2024 года. Об этом 24 октября 2024 года сообщил директор Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора Сергей Хуторцев. Подробнее здесь.

Власти в США предупредили о дырах в ПО Veeam — они используются для атак вирусов-вымогателей

17 октября 2024 года Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) сообщило об обнаружении опасной уязвимости в программном обеспечении Veeam. Брешь эксплуатируется киберпреступниками для внедрения в ИТ-инфраструктуру жертв вирусов-вымогателей. Подробнее здесь.

Хакеры зашифровали инфраструктуру промышленной компании с помощью неустранимого изъяна Windows

Проукраинские киберпреступники вывели из строя ИТ-инфраструктуру российской промышленной компании, используя изъян Windows. Речь идет об известном с 2022 года недостатке взаимодействия операционной системы с цифровыми подписями драйверов. Об этом «Солар» сообщил 26 августа 2024 года. Подробнее здесь.

Хакеры годами захватывали коммутаторы Cisco из-за дыры в оборудовании с завода

1 июля 2024 года корпорация Cisco сообщила об обнаружении уязвимости «нулевого дня» в своей операционной системе NX-OS, которая применяется на коммутаторах серии Nexus. Известно, что злоумышленники годами использовали эту брешь для захвата контроля над сетевым оборудованием американского производителя. Подробнее здесь.

Власти США: Хакеры многие годы используют дырявое ПО Oracle для незаконной добычи криптовалют

В конце мая 2024 года Агентство по кибербезопасности и защите инфраструктуры (CISA) США сообщило о том, что китайские хакеры годами используют уязвимости в программном обеспечении Oracle для незаконной добычи криптовалют. Причем злоумышленники постоянно совершенствуют свои методы, что затрудняет их обнаружение и защиту от вторжений. Подробнее здесь.

Эксперты МТУСИ исследовали уязвимость Downfall в процессорах Intel

В процессорах семейства Intel, выпущенных за последние восемь лет, найдена уязвимость Downfall, позволяющая злоумышленникам похищать персональные данные пользователей, в том числе банковские, ключи шифрования и нарушать конфиденциальность. В числе жертв оказались физические лица, компании и центры обработки данных. Об этом TAdviser рассказали представители МТУСИ 16 января 2024 года. Специалисты вуза по информационной безопасности протестировали уязвимость Downfall и представили отчет о последствиях, к которым она приводит. Подробнее здесь.

2023

Только 14% вендоров оперативно исправляют уязвимости, найденные исследователями безопасности

Эксперты Positive Technologies проанализировали собственный опыт взаимодействия с вендорами в области раскрытия уязвимостей. Так, в 2022–2023 годах 57% вендоров оперативно отвечали исследователям компании, при этом только 14% всех производителей программного обеспечения выпускали обновления в оптимально короткие сроки.

Впервые обнаруженные недостатки безопасности, о которых производитель ПО не знает и для которых еще не существует исправлений, называются уязвимостями нулевого дня. Как только вендор узнает о таком недостатке, становится крайне важно своевременно выпустить исправление, поскольку задержки позволяют злоумышленникам все чаще эксплуатировать такие уязвимости в своих атаках.Витрина данных НОТА ВИЗОР для налогового мониторинга

Число обнаруженных уязвимостей постоянно растет: в 2023 году их количество (28 902) превысило показатели предыдущих двух лет на 42% и 14% соответственно. Кроме этого, каждый взлом и утечка обходятся бизнесу все дороже: средняя стоимость утечки, по данным IBM, за последние три года выросла на 15%, достигнув 4,45 млн долларов США. В связи с этим особое значение для укрепления защиты приобретает построение доверительных и прозрачных отношений между поставщиками ПО и исследователями ИБ.

Промедление в ответственном раскрытии информации об уязвимостях чревато и ростом числа атак на цепочки поставок: за первые три квартала 2023 года количество инцидентов, вызванных атаками подобного типа, выросло в два раза по сравнению с показателями за весь 2022 год.

Positive Technologies придерживается принципов координированного раскрытия в случае обнаружения уязвимостей в продуктах вендоров. При таком формате ответственного разглашения в процессе участвуют не только исследователи и производитель ПО, но и регуляторы и организации, которые выступают посредниками во взаимодействии с поставщиками.

«
Исследователи Positive Technologies из команды PT SWARM за 2022 и 2023 годы выявили более 250 уязвимостей (70% из которых — высокого и критического уровня опасности) в программном и аппаратном обеспечении 84 вендоров. При этом мы сталкиваемся с производителями ПО совершенно разного уровня зрелости. Только у каждого четвертого из них на сайте есть контакты для связи на такой случай и хоть какая-то политика ответственного разглашения. Мы призываем вендоров к выстраиванию прозрачного и взаимовыгодного сотрудничества со специалистами кибербезопасности, потому что только сообща можно своевременно выявлять и исправлять уязвимости ПО, противостоять натиску киберпреступности в интересах всех сторон. Ответственные компании прежде всего сами выигрывают от такого сотрудничества: повышают уровень защищенности своих решений, создают положительный имидж, привлекают новых клиентов и укрепляют конкурентоспособность на рынке, — отметил Федор Чунижеков, старший аналитик исследовательской группы Positive Technologies.
»

Cisco призналась в существовании в своей ОС неподдающейся исправлению критической дыры и просит пользователей отключить оборудование

16 октября 2023 года компания Cisco сообщила об обнаружении критической дыры в своей операционной системе IOS XE, которая используется на различных сетевых устройствах. Брешь активно эксплуатируется злоумышленниками, а исправления для нее по состоянию на указанную дату не существует. Подробнее здесь.

ФСТЭК: Разработчики ПО регулярно нарушают требования по срокам устранения уязвимостей в своих продуктах

Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей в своих продуктах. Об этом в ведомстве рассказали в октябре 2023 года. Там отметили «недостаточную эффективность поддержки ПО».

Речь идет о соблюдении требований регламента включения информации об уязвимостях ПО в «Банк данных угроз безопасности информации» ФСТЭК, поясняет «Коммерсантъ». Производитель софта в случае поступления информации о потенциальной уязвимости в своем ПО должен в течение 30 или 60 дней в зависимости от уровня угрозы принять меры к ее устранению, например разработать правку (патч) для ПО.

Российские разработчики программного обеспечения регулярно нарушают требования ФСТЭК по срокам устранения уязвимостей

Глава совета директоров «Базальт СПО» Алексей Смирнов в разговоре с изданием сообщил, что нарушение регламента ФСТЭК может грозить отзывом у ПО сертификата. Это закроет для разработчика возможности поставок своих продуктов госзаказчикам, которые требуют от поставщиков сертифицированный софт. Гендиректор Factory5 Денис Касимов отметил, что российские разработчики софта «отрабатывают инциденты» и вносят правки в ПО вдвое дольше, чем зарубежные. Он считает, что такое положение дел связано с возросшим спросом на отечественные продукты, из-за чего увеличилась нагрузка на специалистов техподдержки всех уровней.

Некоторым компаниям, возможно, не хватает специалистов, которые бы занимались отработкой инцидентов безопасности, а у кого-то на это банально нет денег, сообщила газете директор по разработке ООО «Аурига» Елена Баранова.

«
Для сокращения времени на обработку запроса требуются отдельные сервисные команды, что для российских разработчиков может оказаться слишком дорого, – сказала она.
»

По словам главы комитета по информбезопасности ассоциации «Отечественный софт» Романа Карпова, существенная доля сертифицированного ФСТЭК российского ПО основана на открытом коде, устранением уязвимостей в котором «занимается не конкретный разработчик, а сообщество».[1]

Juniper Networks призналась в дырявости своих ОС и устройств. Хакеры используют это в DDoS-атаках

29 августа 2023 года американская компания Juniper Networks, производитель оборудования для интернет-провайдеров, корпораций и государственного сектора, сообщила о выявлении ряда уязвимостей в своих сетевых устройствах. Дыры позволяют киберпреступникам организовывать DDoS-атаки. Подробнее здесь.

Власти США предупредили о дырах в ПО Citrix. Из-за них хакеры могут легко украсть данные компаний

16 августа 2023 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило о том, что сетевые злоумышленники атакуют предприятия через уязвимости в программном обеспечении Citrix. Дыры в числе прочего позволяют красть конфиденциальную информацию. Подробнее здесь.

Две трети межсетевых экранов Fortinet оказались дырявыми. На них можно легко запустить произвольный код

Более двух третей межсетевых экранов Fortinet, находящихся в эксплуатации, содержат критически опасную уязвимость, которой могут воспользоваться киберпреступники для захвата контроля над оборудованием. Об этом говорится в исследовании Bishop Fox, результаты которого обнародованы 30 июня 2023 года. Подробнее здесь.

Роскомнадзор создает платформу для борьбы с уязвимостями российских сайтов

На базе Центра мониторинга и управления сетью связи общего пользования создается система сканирования, которая позволит выявить уязвимости информационной безопасности российских сервисов, предоставляя возможность их оперативного устранения. Об этом пресс-служба Роскомнадзора сообщила 9 июня 2023 года. Подробнее здесь.

Microsoft призналась во взломе почтового сервиса Outlook. Пострадали европейские правительственные, военные и энергетические компании

В середине марта 2023 года корпорация Microsoft сообщила о продолжительной кибератаке, нацеленной на почтовый сервис Outlook. Жертвами хакеров стали правительственные, военные, транспортные и энергетические компании в Европе. Подробнее здесь.

Критические дыры нашли в контроллерах Schneider Electric, используемых в аэропортах, энергетике и горнодобывающей промышленности

В середине февраля 2023 года исследователи из Forescout объявили об обнаружении ряда серьёзных уязвимостей в системах управления производственными процессами Schneider Electric. Подробнее здесь.

2 года хакеры используют дыру в ПО VMware для успешных атак вирусов-вымогателей

В начале февраля 2023 года Французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупредила о распространении новой программы-вымогателя, получившей название ESXiArgs. Она проникает в системы жертв через дыру в серверном программном обеспечении VMware. Подробнее здесь.

Дыра в мессенджере Signal позволяет кому угодно просматривать вложения в переписках

В конце января 2023 года специализирующийся на вопросах информационной безопасности Джон Джексон опубликовал исследование о двух уязвимостях, обнаруженных им в настольном клиенте мессенджера Signal. Они получили обозначение CVE-2023-24069 и CVE-2023-24068. Подробнее здесь

Власти США предупредили об опасных дырах в промышленном ПО Siemens и GE

17 января 2023 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило об обнаружении опасных уязвимостей в промышленном программном обеспечении (ПО) производства Siemens, GE Digital и Contec. Подробнее здесь.

Хакеры получили контроль над устройствами TP-Link

11 января 2023 года Национальный институт стандартов и технологий США (NIST) обнародовал два бюллетеня безопасности с информацией об уязвимостях в маршрутизаторах Netcomm и TP-Link. Злоумышленники, в частности, могут захватить полный контроль над устройством. Подробнее здесь.

Брак материнских плат, который позволяет запускать ОС без проверки их безопасности

13 января 2023 года польский исследователь в области ИТ-безопасности Давид Потоцкий (Dawid Potocki) сообщил об обнаружении опасной уязвимости примерно в 300 моделях материнских плат MSI. Брешь позволяет загружать любой образ операционной системы независимо от того, имеет ли он цифровую подпись. Подробнее здесь.

Как хакеры атакуют правительства через дырявые VPN-устройства Fortinet

В середине января 2023 года стало известно о том, что киберпреступники используют уязвимость нулевого дня FortiOS SSL-VPN для проведения атак на правительственные организации и цели, связанные с государственными структурами. Подробнее здесь.

Злоумышленники получают контроль над устройствами из-за существовании критических дыр роутерах

11 января 2023 года компания Cisco сообщила о наличии двух критических уязвимостей в веб-интерфейсе управления некоторых своих маршрутизаторов для малого бизнеса. Дыры позволяют удалённому злоумышленнику захватить контроль над устройством. Подробнее здесь.

2022

Microsoft признала дыру в серверах Exchange, через которую распространяют вирусы-вымогатели

В конце декабря 2022 года исследователи в области информационной безопасности из компании CrowdStrike сообщили об обнаружении нового набора эксплойтов ProxyNotShell для атак на серверы Microsoft Exchange. Подробнее здесь.

Netgear признала существование критических дыр в маршрутизаторах Nighthawk

28 декабря 2022 года компания Netgear выпустила обновление программного обеспечения для ряда своих маршрутизаторов Wi-Fi: апдейт устраняет опасную уязвимость, которая может эксплуатироваться злоумышленниками в том числе с целью организации DDoS-атак. Подробнее здесь.

В колонках Google нашли дыру, позволяющую кому угодно прослушивать пользователей

26 декабря 2022 года стало известно о серьёзной уязвимости в умных колонках Google Home, которая позволяет злоумышленнику получить удалённый доступ к устройству и подслушать разговоры пользователей. Подробнее здесь.

В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости

В 100% исследованных компаний обнаружены незакрытые трендовые уязвимости. Такие данные 22 ноября 2022 года сообщила компания Positive Technologies. В топ-10 самых часто встречающихся в компаниях трендовых уязвимостей вошли известные уязвимости в продуктах Microsoft, большинство из них в компонентах ОС Windows и пакетах Microsoft Office. Подробнее здесь.

Создан новый метод кибератаки на космические корабли

15 ноября 2022 года Мичиганский университет (США) сообщил об обнаружении серьёзной уязвимости в сетевой технологии, широко используемой в критически важных инфраструктурах, таких как космические корабли, самолёты, системы производства энергии и промышленные системы управления. Подробнее здесь.

Национальный ИБ-центр Британии признал сканирование всех интернет-устройств в стране

В начале ноября 2022 года национальный центр кибербезопасности Британии запустил программу, которая будет постоянно сканировать каждое подключенное к интернету устройство, расположенное в Соединенном Королевстве, на наличие уязвимостей, чтобы помочь правительству реагировать на угрозы нулевого дня. Подробнее здесь.

2021

Обнаружение 28 695 тыс. уязвимостей в ПО по всему миру

В 2021 году было обнаружено в общей сложности 28 695 тыс. уязвимостей в программных продуктах по всему миру. Такие данные аналитики из Risk Based Security в своем отчете в середине февраля 2022 года.

28 тыс. уязвимостей является рекордным за всю историю, и показатель наглядно демонстрирует степень риска, с которым сталкиваются организации и команды безопасности по всему миру. Risk Based Security прогнозирует, что количество раскрытых уязвимостей в будущем будет продолжать расти из года в год.

За 2021 год выявлено рекордное количество уязвимостей в ПО по всему миру

По словам экспертов, большое количество уязвимостей пришлось пересмотреть и обновить по мере появления обновленной информации о решениях, ссылок и дополнительных метаданных, что еще раз демонстрирует напряженную рабочую нагрузку, с которой ежедневно сталкиваются команды по информационной безопасности.

«
Несмотря на то, что ситуация с раскрытием уязвимостей улучшилась после начала пандемии коронавируса COVID-19, не было никаких праздничных фанфар. Теперь все возвращается на круги своя, а это означает, что количество раскрытий уязвимостей, скорее всего, вернется в привычную колею, увеличиваясь с каждым годом. Обновление предыдущих записей жизненно важно, потому что если уязвимость раскрыта и не согласована с поставщиком, могут пройти дни, месяцы или даже годы, прежде чем появится решение, - сказал вице-президент по анализу уязвимостей в Risk Based Security Брайан Мартин (Brian Martin).
»

В случае, когда организация или компания внедрила средства защиты, все равно крайне важно установить исправление или обновление, когда оно станет доступно. В случае, если программное обеспечение не обновляются с последующей информацией об устранении, то компания упускает важные данные, необходимые для реального снижения рисков, связанных с уязвимостями внутри бизнеса.[2]

Число уязвимостей в ПО оказывается рекордным пятый год подряд

8 декабря 2021 года Национальный институт стандартов и технологий (NIST) опубликовал исследование, в котором сообщил о рекордном количестве уязвимостей в программном обеспечении. Причем максимум обновляется пятый год подряд.

В 2021 году выявлено в общей сложности 18 378 уязвимостей. Число зарегистрированных уязвимостей высокой степени опасности сократилось до 3646 в 2021 году по сравнению с 4381 в 2020 году. Количество зарегистрированных уязвимостей среднего риска составило 11 767, а число уязвимостей низкого риска составило 2965, что больше, чем в 2020 году.

Число уязвимостей в ПО оказывается рекордным пятый год подряд

Исследователи из Redscan Cyber Security проанализировали цифры в этом отчете и обнаружили, что в среднем в NIST регистрировалось около 50 слабостей и уязвимостей или CVE каждый день до 2021 года. Из них 90% могут быть использованы злоумышленниками с ограниченными техническими навыками, в то время как 61% CVE не требуют взаимодействия с пользователем, такого как переход по ссылке, загрузка файла или обмен учетными данными.

Доля уязвимостей, для использования которых хакерам не нужно использовать привилегии администраторов и т. п., снизился в 2021 году до 55 % с 59 % в 2020 году и 66 % в 2019 году. Уязвимости с высоким рейтингом конфиденциальности, то есть, вероятно, оказывающие влияние на конфиденциальные данные, снизились с 59 % до 53 % CVE за последние 12 месяцев.

«
Неудивительно, что количество новых уязвимостей в 2021 году превышает показатели 2020 года, - сказал Янив Бар-Даян, соучредитель и исполнительный директор компании по управлению киберрисками Vulcan Cyber. - Число уязвимостей будет увеличиваться в соответствии с темпами и масштабами внедряемых нами технологий, и мы привыкли ожидать и учитывать неотъемлемый риск в нашей цифровой жизни.
»

«
Если группы ИТ-безопасности оставляют без внимания уязвимости 2020 года, реальное число на 2021 год будет кумулятивным, и защититься от них будет становится все труднее и труднее, - сказал он.
»

Бад Брумхед, генеральный директор Viakoo, поставщика корпоративной платформы безопасности, отметил, что, несмотря на меньшее количество уязвимостей высокой степени опасности в 2021 году, отчет, тем не менее, вызывает тревогу.

«
Настоящая проблема заключается в том, сколько уязвимостей, которыми можно воспользоваться, остается неизвестным, которыми злоумышленники могли бы воспользоваться, - пояснил Брумхед. - Рекордное количество новых уязвимостей в сочетании с медленными темпами обновления устройств для устранения уязвимостей означает, что риск взлома организаций выше, чем когда-либо, особенно через устройства, подключенных к Интернету.[3]
»

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания