Старые уязвимости — чем они опасны?

Количество обнаруженных уязвимостей с высоким (7.0–8.9) и критическим (9.0–10.0) рейтингом опасности растет с каждым годом. Только за 2023 год было найдено 16843 таких дыр. Из-за этого у отделов информационной безопасности может возникнуть соблазн сконцентрировать свои ресурсы на митигации свежих уязвимостей. Однако для реальных атак злоумышленники часто используют давно известные дырки.

Так в 2022 году 76% уязвимостей, которые использовались для атак программ-вымогателей, были выявлены в период с 2010 по 2019 годы. Сегодня мы поговорим о нескольких примерах эксплуатации старых уязвимостей и какую угрозу они представляют для организаций.

В июне 2023 года CISA заявило, что обнаружило компрометацию инфраструктуры одного из федеральных агентств США. Несколько групп злоумышленников находились в инфраструктуре в течение нескольких месяцев — с ноября 2022 по начало января 2023 года.

Злоумышленники взломали веб-сервер Microsoft Internet Information Services (IIS) с помощью уязвимости десериализации .NET в компоненте Progress Telerik UI для ASP.NET AJAX (CVE-2019-18935). После взлома сервера киберпреступники разместили вредоносную нагрузку в папке C:\Windows\Temp, чтобы собирать и выводить информацию на контролируемые ими командные серверы.

Самое важное — уязвимость была обнаружена еще в 2019 году, за три года до инцидента. Более того, CISA добавило уязвимость в Progress Telerik UI в свой каталог известных эксплуатируемых уязвимостей (KEV) еще в ноябре 2021 года.

Осенью 2023 года вредоносное ПО Agent Tesla распространялось злоумышленниками в рамках обширной фишинговой кампании. Agent Tesla — это кейлогер и RAT (remote access trojan), который впервые появился в 2014 году.

Обычно Agent Tesla используется на первой стадии атаки для получения удаленного доступа к скомпрометированной системе. Затем с его помощью на устройство могут загрузить более сложные вредоносные инструменты, например, программы-вымогатели.

В 2023 году киберпреступники использовали для доставки Agent Tesla шестилетнюю уязвимость в редакторе формул Microsoft Office (CVE-2017-11882). Эта уязвимость связана с ошибкой обращения с объектами в оперативной памяти. Для ее эксплуатации злоумышленники рассылали письма с вредоносным документом, тем или иным способом убеждая жертву его открыть.

После этого уязвимость позволяла преступникам выполнить произвольный код с привилегиями пользователя, открывшего вредоносный файл. Злоумышленники также могли просматривать, изменять или уничтожать данные и создавать новые учетные записи на скомпрометированном устройстве.

Ботнет FritzFrog впервые был выявлен в августе 2020 года. По данным исследователей, в FritzFrog входит более тысячи скомпрометированных SSH-серверов. Конечная цель ботнета — использовать эти серверы для скрытого майнинга криптовалют.

FritzFrog захватывает серверы с помощью брутфорса либо через имеющиеся в них уязвимости. В частности, описанные в 2024 свежие версии зловреда эксплуатируют две уязвимости, обнаруженные еще в 2021 году — Log4Shell (CVE-2021-44228) и PwnKit (CVE-2021-4034). О первой из них мы рассказывали в нашей статье о рисках использования open source при разработке.

C помощью Log4Shell злоумышленники могут удаленно выполнять произвольный код на уязвимых серверах и загружать на них вредоносное ПО. Вторая уязвимость 2021 года, которую используют создатели ботнета, позволяет скомпрометировать Linux-компонент PolKit, получить привилегии root и, в конечном итоге, опять-таки загрузить на уязвимый сервер вредоносное ПО FritzFrog.

Киберпреступная группировка NoName уже несколько лет атакует организации с помощью программ-вымогателей. Группировка специализируется на малом и среднем бизнесе и за последние три года успела создать себе серьезную репутацию в мире киберпруступности. Среди прочего, в своих атаках NoName нередко использует старые уязвимости.

Для получения доступа к сети жертвы группировка применяет брутфорс, а также эксплуатирует ряд уязвимостей, которые были обнаружены в период с 2017 по 2023 год. В рамках этого поста мы расскажем о наиболее старой из них — EternalBlue (CVE-2017-0144).

EternalBlue — это уязвимость в реализации протокола SMB в Windows. Эксплойт для нее был разработан Агентством национальной безопасности США (NSA) и опубликован группой The Shadow Brokers в мае 2017 года. Всего несколько месяцев спустя EternalBlue использовали для распространении вредоносного ПО WannaCry.

Эксплуатация CVE-2017-0144 позволяет злоумышленникам получить удаленный доступ к системе и воспроизвести в ней произвольный код. Хотя уязвимость была устранена в серии обновлений MS17-010, до сих пор далеко не у всех организаций дошли руки до установки этих обновлений.

Уязвимость "0.0.0.0 Day" была впервые обнаружена 18 лет назад. Она позволяет вредоносным веб-сайтам обходить механизмы безопасности браузеров Google Chrome, Mozilla Firefox и Apple Safari, запущенных на компьютерах с Linux и macOS, и взаимодействовать с сервисами в локальной сети.

Дело в том, что IP-адрес 0.0.0.0 является своего рода "джокером", то есть может принимать разные значениях. В частности, иногда он используется в качестве синонима адреса 127.0.0.0 (локальный хост). Проблема в том, что механизмы безопасности современных браузеров блокируют обращения загруженных ими вебсайтов к 127.0.0.0, однако не делают этого в случае 0.0.0.0.

Из-за этого получается, что через 0.0.0.0 открытый в браузере вредоносный сайт может получить несанкционированный доступ к защищенной информации, а в некоторых случаях даже выполнить на компьютере произвольный код.

В 2024 году количество случаев эксплуатация 0.0.0.0 Day резко увеличилось. Это заставило разработчиков Chrome, Safari и Mozilla наконец-то всерьез взяться за исправление уязвимости — дыру обещают исправить в ближайших версиях этих браузеров.

В период с 2023 по 2024 годы исследователи зафиксировали рост эксплуатации старых CVE на 10%. Эта статистика еще раз показывает: необходимо в первую очередь устранять те уязвимости, которые с наибольшей вероятностью будут использовать злоумышленники. В этом может помочь Risk-Based Vulnerability Management.

Этот подход предполагает более эффективную приоритизацию устранения уязвимостей на основании рисков, которые они представляют для организации. Риски оценивается по целому ряду факторов, включая наличие рабочего эксплойта для уязвимости и его использование в реальных атаках. Подробнее о Risk-Based Vulnerability Management читайте в нашей статье.