5-8 minut

Jak cyberprzestępcy wykorzystują podatności?

Jednym z najważniejszych sposobów zapobiegania włamaniom cyberprzestępców do systemów organizacji jest identyfikacja luk w zabezpieczeniach. Wykrywanie i usuwanie podatności poprzez aktualizację oprogramowania i sterowników sprzętowych pozwala zminimalizować ryzyko udanego ataku na firmową infrastrukturę i dane.

Z TEGO ARTYKUŁU DOWIESZ SIĘ: CZYM SĄ PODATNOŚCI I CZYM SĄ EXPLOITY? JAKIE MOGĄ BYĆ RODZAJE PODATNOŚCI? JAKIE SĄ PRZYKŁADOWE PODATNOŚCI RANSOMWARE? W JAKI SPOSÓB RADZIĆ SOBIE Z PODATNOŚCIAMI? JAK USŁUGA T‑Mobile – BADANIE WRAŻLIWOŚCI – POMAGA PRZEDSIĘBIORSTWOM ZABEZPIECZAĆ SIĘ PRZED ZAGROŻENIEM?

Wykonana przez Redscan analiza bazy danych podatności National Vulnerability Database (NVD), prowadzonej przez NIST, ujawniła rekordową liczbę luk w oprogramowaniu, które pojawiły się w 2021¹. Ubiegły rok był szczególnie trudny dla zespołów ds. bezpieczeństwa, z powodu wzrastającej liczby ataków ransomware i konieczności zabezpieczania systemów przed zagrożeniami z zewnątrz. Jednocześnie analitycy podkreślają, że 90% wszystkich podatności wykrytych w 2021 r. może zostać wykorzystanych do ataku nawet przez przestępców o ograniczonych umiejętnościach technicznych. Kolejną informacją, która może niepokoić jest fakt, iż 54% luk w zabezpieczeniach z 2021 zostało sklasyfikowanych jako luki „wysokiej dostępności”, co oznacza, że dotyczą one popularnych systemów, aplikacji i urządzeń.

Co to jest podatność i czym jest exploit?

Zajmująca się cyberbezpieczeństwem w Unii Europejskiej ENISA (European Union Agency for Cybersecurity) definiuje podatność² jako: istniejącą słabość dotyczącą projektu lub błąd w implementacji, który może prowadzić do nieoczekiwanego, niepożądanego zdarzenia zagrażającego bezpieczeństwu systemu komputerowego, sieci, aplikacji lub protokołu. Podatność zawierająca co najmniej jeden znany, działający wektor ataku, klasyfikowana jest jako luka, którą przestępca może wykorzystać. Tzw. „okno podatności” to czas od momentu pojawienia się tej podatności do chwili jej „załatania”, czyli stworzenia przez twórcę oprogramowania nowej, poprawionej wersji wadliwego komponentu.

Z pojęciem luki w oprogramowaniu (podatności) wiąże się exploit. Exploit to inaczej kod lub technika wykorzystująca podatność do przeprowadzenia ataku lub uzyskania nieautoryzowanego dostępu. Okno podatności definiuje nam czas, w którym jedyną ochroną przed potencjalnym atakiem jest niekorzystanie z podatnego komponentu oprogramowania. Kod, który jest w stanie wykorzystać niezałataną jeszcze lukę w oprogramowaniu nazywany jest exploitem dnia zerowego (zero-day exploit). Dopóki usterka w oprogramowaniu nie zostanie naprawiona, osoby atakujące mogą wykorzystać ją, aby niekorzystnie wpłynąć na program komputerowy, bazę danych, komputer lub sieć. Nie wszystkie podatności niosą ze sobą to samo zagrożenie. Często wykorzystanie luki w oprogramowaniu przez atakującego wiąże się ze spełnieniem kilku innych dodatkowych warunków, na przykład istnienia innych podatności, dzięki którym atak ten w ogóle będzie możliwy. Jednak w każdym przypadku, organizacja powinna dążyć do jak najszybszej eliminacji wszelkich możliwych podatności, by zredukować ryzyko udanego ataku na własną infrastrukturę.

Rodzaje podatności

Wyróżnić można kilka kategorii podatności.

1. Sprzętowe

Luką w tym przypadku mogą okazać się słabe algorytmy szyfrowania, podatność oprogramowania układowego lub cechy fizyczne sprzętu. Ciekawym przykładem podatności może być Rowhammer, efekt fizyczny występujący w układach SDRAM. Podatność wynikała z efektu pojawiającego się w momencie, kiedy ten sam fizyczny rząd komórek pamięci odczytywany był wielokrotnie, w krótkim odstępie czasu. Powodował on wyciek ładunków elektrycznych z komórek w rzędzie, który atakujący wielokrotnie próbował odczytywać, do sąsiednich rzędów. Efekt ten można porównać do wielokrotnego uderzania młotkiem – stąd nazwa podatności.

2. W oprogramowaniu

Ta grupa podatności obejmuje całe spektrum możliwości. Wśród nich wymienić można: błędy projektowe skutkujące brakiem wystarczającej liczby testów lub audytu, błędy w oprogramowaniu polegające na przepełnieniu bufora, błędy walidacji danych wejściowych (np. wstrzykiwanie kodu, technika XSS, wstrzykiwanie SQL) i wiele, wiele innych.

Stworzony przez Homeland Security Systems Engineering and Development Institute (HSSEDI) indeks podatności – Common Weakness Enumeration (CWE) Top 25³ obejmuje listę najbardziej niebezpiecznych luk w oprogramowaniu z ostatnich dwóch lat. Obecnie na pierwszych trzech miejscach znajdują się podatności: CWE-787⁴ (mogący wystąpić w oprogramowaniu pisanym w języku C błąd adresowania), CWE-79⁵ (Cross-site Scripting) oraz CWE-125 (Out-of-bounds Read – kolejny błąd popełniany przez programistów C).

3. W sieci

Ten typ podatności obejmuje m.in. ataki typu man-in-the-middle czyli atak polegający na podsłuchu i modyfikacji wiadomości, niezabezpieczone architektury sieci, brak uwierzytelniania lub stosowanie uwierzytelniania domyślnego.

4. Podatności organizacyjne

Wśród nich istotne są m.in. brak audytu lub planu reagowania na incydenty, a także brak świadomości personelu i brak szkolenia w zakresie bezpieczeństwa, niewłaściwe zarządzanie hasłami lub umożliwienie użytkownikom pobieranie złośliwego oprogramowania.

Przykłady podatności ransomware

Ransomware jest rodzajem szczególnie groźnego oprogramowania, które szyfruje urządzenie. W celu odzyskania dostępu do zaszyfrowanych danych zazwyczaj trzeba zapłacić okup, stąd wzięła się jego nazwa: ransom – okup, software – oprogramowanie. Cyberprzestępcy za „zdjęcie blokady” z systemów żądają okupu. Jedną z najstarszych podatności jest CVE-2012-1723⁶, czyli luka w komponencie Java Runtime Environment (JRE) w Oracle Java SE 7, opisana już w 2012 roku. Wykorzystywana była do rozprzestrzeniania oprogramowanie ransomware Urausy⁷. Z kolei CVE-2013-0431⁸ to luka w JRE wykorzystywana przez oprogramowanie ransomware Reveton.

CVE-2018-12808⁹ to znana od kilku lat podatność Adobe Acrobat, która jest wykorzystywana do dostarczania oprogramowania ransomware za pośrednictwem wiadomości phishingowych i złośliwych plików PDF. Zarówno oprogramowanie ransomware Ryuk, jak i oprogramowanie ransomware Conti wykorzystują tę metodę ataku.

Jedną za najnowszych podatności jest Adobe CVE-2019-1458¹⁰ umożliwiająca eskalację uprawnień w systemie Windows. Luka ta została ujawniona w grudniu 2019 r., ale wciąż jest powszechnie wykorzystywana przez ransomware NetWalker.

Jak radzić sobie z podatnościami?

Jedyną możliwością zapobiegania atakom wykorzystującym luki w oprogramowaniu jest aktualizacja software’u. Luki sprzętowe możliwe są do usunięcia albo poprzez aktualizację sterowników do niego, albo, jeżeli nie jest to możliwe – wymianę sprzętu. Nie wolno także zapominać o podatnościach w samej organizacji, które także konieczne należy „załatać”.

Istotnym elementem pozwalającym eliminować podatności jest cykliczna ocena wrażliwości, której może podjąć się zewnętrzny audytor, na przykład T‑Mobile. T‑Mobile realizuje Badanie Wrażliwości pozwalające zweryfikować stan ochrony organizacji przez zagrożeniami. W ramach tej usługi można dokonać oceny stanu infrastruktury teleinformatycznej, przeprowadzić badanie bezpieczeństwa i zabezpieczeń aplikacji WEB, analizę nadzoru nad punktem styku z Internetem i weryfikację sposobu ochrony systemów pocztowych oraz oceny stanu kultury bezpieczeństwa.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące podatności:

Podatność to istniejącą słabość dotyczącą projektu lub błąd w implementacji, który może prowadzić do niepożądanego zdarzenia zagrażającego bezpieczeństwu systemu komputerowego, sieci, aplikacji lub protokołu. Podatność zawierająca co najmniej jeden znany, działający wektor ataku, klasyfikowana jest jako luka, którą przestępca może wykorzystać
„Okno podatności” to czas od momentu pojawienia się podatności do chwili jej „załatania”, czyli stworzenia przez twórcę oprogramowania nowej, poprawionej wersji wadliwego komponentu. Okno podatności definiuje nam czas, w którym jedyną ochroną przed potencjalnym atakiem jest niekorzystanie z podatnego komponentu oprogramowania.
Exploit to inaczej kod lub technika wykorzystująca podatność do przeprowadzenia ataku lub uzyskania nieautoryzowanego dostępu.
Wyróżnić można podatności sprzętowe, w oprogramowaniu, w sieci i organizacyjne
T-Mobile świadczy usługę Badanie Wrażliwości pozwalające zweryfikować stan ochrony organizacji przez zagrożeniami. W ramach niej można dokonać oceny stanu infrastruktury teleinformatycznej, przeprowadzić badanie bezpieczeństwa i zabezpieczeń aplikacji WEB, analizę nadzoru nad punktem styku z Internetem i weryfikację sposobu ochrony systemów pocztowych oraz oceny stanu kultury bezpieczeństwa

¹https://www.redscan.com/news/nist-nvd-analysis-2021-record-vulnerabilities/

²https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/risk-management-inventory/glossary

³ https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

⁴https://cwe.mitre.org/data/definitions/787.html

⁵https://cwe.mitre.org/data/definitions/79.html

⁶https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-1723

⁷https://www.cybsecurity.org/pl/ransomware-urausy-nowe-stare-zagrozenie/

⁸https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0431

⁹https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12808

¹⁰https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-1458