Уязвимость устройств и постоянные атаки злоумышленников становятся одной из основных проблем XXI века. Чтобы завладеть информацией преступники пользуются всеми доступными методами, обходя препятствия, выставляемые на их пути системами безопасности.

За последний год появился целый ряд «свежих» уязвимостей – все они с успехом использовались хакерами для атак на компании, ряд применяется и сегодня. Речь идет о сферах, где предприятия не могут осуществить инвентаризацию согласно всем существующим правилам, внести ряд необходимых поправок в работу ПО. Агентство CISA предлагает пользователям собственное обновление, касающееся уязвимостей, обнаруживающихся чаще других. Для того чтобы лучше понять, что к чему, лучше рассказать о всех 15-ти вариантах, с которыми приходится сталкиваться в большинстве случаев исходя из отчетов SentinelOne.

1. Log4Shell (уязвимость CVE-2021-44228)

Лидером своеобразного рейтинга является Log4j (хр. Apache Java) – уязвимость была выявлена впервые еще зимой 2021 г. Данная ошибка использует возможности удаленного создания кода, она может широко применяться благодаря тому, что хранилище Log4j достаточно распространено в веб-программах. Многие сетевые администраторы были неприятно удивлены обнаружению данной зависимости в программном стеке. Познакомивший с ней «поближе», специалисты попытались понять суть уязвимости и своевременно предпринять ответные действия. Но в большинстве случаев они оказывались безуспешными – ошибку исправить не удалось. Собственно, этим и обуславливается присутствие нее присутствие на верхней позиции «рейтинга» – большинство организаций и сегодня не понимают, как с этим бороться.

2. Zoho ManageEngine ADSelf Service Plus (уязвимость CVE-2021-40539)

ПО оказалось проблемным в части исключения возможности прохождения регистрации REST API и «логичного продолжения» - дистанционного генерирования кода. Проблема была успешно ликвидирована еще осенью 2021 г, при этом хакеры могут испробовать создаваемые URL-адреса. Это необходимо для того чтобы обойти все этапы проверки при ошибке, возникшей в ходе создания URL-адреса еще до проверки. Осуществив задуманное, преступники задействуют конечные точки и осуществить некоторое количество атак, задать ряд команд.

Ошибка может использоваться как инструмент на предприятиях, где по умолчанию присутствует недостаток в конфигурации ПО. Вариант ценен для хакеров, а потому неудивительно, что они постоянно находятся в поисках предприятий, которые имеют уязвимые версии данного ПО и могут быть атакованы.

с 3 по 5. ProxyShell в различных версиях

Речь идет о трех уязвимостях Microsoft Exchange, позволяющих обойти препоны системы безопасности - CVE-2021-31207, 2021-34523, 2021-34473. Благодаря формированию структуры, осуществляемому в ProxyShell, хакеры могут совершать ряд вредоносных операций – например, контролировать почту.

Проблемы, найденные еще летом 2021 года, присутствуют на сервере CAS. Осуществление управления в данном случае – это вариант, работающий в рамках порта 443 Microsoft. Пользователи могут получить доступ к ней по почте, с портативных устройств, а также веб-браузеров. Код, как и в большинстве ситуаций с CVE, доступен, что заставляет преступников заинтересоваться этим вариантом уязвимостей - с их точки зрения это может оказаться весьма перспективным начинанием.

с 6 по 9. ProxyLogon в различных версиях

Для компаний, применяющих Exchange в работе, недавний период был непростым. До появления ProxyShell летом 2021 функционировали 4 нулевых дня, называющихся ProxyLogon – они занимают четыре строки в своеобразном рейтинге ошибок, используемых чаще других.

ProxyLogon может повлиять на работу различных версий Microsoft Exchange. Впервые уязвимости были выявлены после обнаружения HAFNIUM – АРТ-группировки из Китая. С тех пор ими не преминули воспользоваться и другие злоумышленники – и это ожидаемо, поскольку ошибки по умолчанию имеются в конфигурациях востребованного среди компаний ПО.

Как правило, хакеры используют автоматизированные варианты – с их помощью находятся и сканируются сервера с неисправностями. Чтобы блокировать эксплойты ProxyLogon следует просто приобрести антивирус – он защитит пользователя от угроз.

Четыре CVE – это подключения к Exchange с использованием порта 443, не отличающиеся надежностью, они могут использоваться и без вмешательства пользователя. Хакеры легко обходят аутентификацию, могут считывать электронные сообщения и разворачивать вредоносную деятельность в сети компании. Изначально при вмешательствах HAFNIUM разворачивались веб-оболочки в различных вариантах, использовался ряд инструментов, упрощающих доступ, совершался ряд других манипуляций. Акции HAFNIUM осуществлялись с использованием инструментов, изначально код которых является открытым.

10. Server и Data Center

Речь идет об Atlassian Confluence. Данная уязвимость, присутствующая в выстроенной системе обеспечения безопасности компании, позволяет, не проходя стадии проверки, беспрепятственно создавать код в Confluence Server, а также Data Center. Данный сервис напоминает Wiki, сегодня он широко применяется компаниями. Уязвимость, найденная летом 2021 года, часто применяется и сегодня, поскольку делать это могут даже пользователи, которые не проходили проверку. К сожалению, изначально раскрытие данной информации фактически осталось за рамками интересов большинства компаний, а потому уже в осенью USCYBERCOM заявила о том, что активная массовая эксплуатация уязвимости продолжается.

Ошибка позволяет злоумышленнику действовать также, как и разрешенному пользователю, активирующему сервис. С самого начала предполагалось, что уязвимость является доступной лишь пользователям, чьи данные, присутствующие в системе, являются действительными. Вскоре выяснилось – воспользоваться ею может любой. Код и сегодня открыт, он востребован среди хакеров.

11. Проблемы VMware (CVE-2021-21972)

В уже в декабре 2021-го в VMware заявили: у vSphere (HTML5) очевидно присутствуют определенные проблемы в области удаленного формирования кода, если речь идет о vCenter Server. Проблеме было присвоен критическая степень серьезности, обозначающаяся в документации как 9,8. VSphere является набором продуктов, позволяющих виртуализировать серверы компании. Данное ПО, как правило, располагается в рамках внутренних корпоративных сетей организации. Применение указанной ошибки позволяет злоумышленникам действовать с широким спектром возможностей, используя возможность доступа, организованного к порту.

Вскоре поступила информация о масштабном сканировании, проводящемся в отношении элементов VMware, которым может грозить атака, а в сети отметили появление Proof of Concept - кода, позволяющего использовать ошибки.

12. ZeroLogon (CVE-2020-1472)

Ряд уязвимостей из данного списка используются и сегодня, хотя средства, минимизирующие их последствия, вполне доступны. Основной является известная с лета 2020 года ошибка ZeroLogon. Она появилась через месяц после внесения корректив специалистами Microsoft. Проблема представлена неточностью, которая относится к криптографической группе. Используя ее, преступник может, минуя все этапы аутентификации, получить доступ к серверу.

Принцип срабатывания основывается на том, что в попытке создать оригинальный порядок действий в области шифрования, Microsoft был допущен существенный просчет – инициализация разработана не на число, выбранное случайным образом, а на нули. Подобный просчет позволяет преступнику дистанционно подделать токен и войти в сеть, назначив определенный пароль. Хакеры часто используют данную проблему для компроментации ПК, присутствующих в сети. Впоследствии были обнаружены и другие варианты, например, изменение паролей. Ошибка отмечена среди различных атак преступников-вымогателей, доступен ряд часто востребованных программ.

13. Exchange (CVE-2020-0688)

Ошибка Microsoft была определена в 2020-м – она выглядит как проблема формирования кода в Exchange. Проблема проявляется, если у сервер не может верно сформировать оригинальные ключи в ходе установки. Информация о ключе проверки дает пользователю возможность передавать с электронного ящика объекты, использующиеся для осуществления десериализации.

Осенью 2020 г. CISA заявила, что злоумышленники, связанные с Китаем, применяют ошибку для создания кода дистанционно. Целью является сбор целевых почтовых адресов. Лето 2021 г. и зима 2022-го ознаменовались сообщением, что российские взломщики выбирают данную проблему для формирования кода удаленно на серверах с недостаточным уровнем защиты.

14. Connect Secure

Ошибка CVE-2019-11510 касается Pulse Secure VPN, выбрав ее, злоумышленники могут осуществить проникновение в локальные сети. Мошенник, не проходя необходимую проверку, направляет сформированный URL, делая файл уязвимым. Данный недостаток использовали хакеры из Китая и России в процессе вмешательства в данные исследований по коронавирусу. Патчи, связанные с проблемой, увидели свет весной 2019 года. Имело место некоторое количество неприятных ситуаций – записи учета были использованы спустя значительное время после того, как пострадавшие компании востановили свои устройства. CISA подтвердила, что на большинство инцидентов во властных структурах Соединенных Штатов и ряде организаций реакция была своевременной.

15. Fortinet FortiOS, а также FortiProxy (CVE-2018-13379)

Это ошибка, делающая возможным обход традиционного алгоритма на FortiProxy SSL VPN. Воспользовавшись проблемой, преступник, не пройдя проверку, сможет беспроблемно скачивать интересующие его системные файлы. Уязвимость можно назвать легендарной. Имеющей длительную историю. Основным назначением данного варианта становится хищение информации и внедрение программ-вымогателей.

В последнее время CISA выпустила ряд рекомендаций, которые описывают использование уязвимости хакерами из разных стран. Проблема очевидна – ошибка часто используется для атак на организации.

Резюме

Встраивая систему безопасности компании, специалисты понимают, что старые проблемы никуда не денутся, а вот новые вполне могут возникнуть и покупкой антивируса уже врядли можно обойтись. Перечисленные выше уязвимости опасны и сегодня, а потому специалисты по безопасности из компании Софтлист готово предложить пользователям обнаружить проблему в установленном ПО до того, как прорехи в системе безопасности будут обнаружены хакерами хакеры.  Помните злоумышленники пытаются воспользоваться давно проверенными методами – часто это проще, чем искать новые, а потому представленный список может быть полезным для специалистов в области обеспечения безопасности.