Podatność jest luką w oprogramowaniu pozwalającą atakującym wykonać działania, których twórca softwaru nie przewidział. Konsekwencją wykorzystania luki może być wyciek danych, zdobycie przez cyberprzestępcę uprawnień umożliwiających mu wykonanie działań w systemie lub ingerencję w kod oprogramowania. Najgroźniejszym przypadkiem jest luka dnia zerowego, czyli błąd w oprogramowaniu, który nie został jeszcze zidentyfikowany i naprawiony przez dostawcę software’u. Jeśli luka zostanie wykryta przez cyberprzestępców, zanim producent oprogramowania usunie podatność, możliwe jest skuteczne przeprowadzanie ataków. Podatności mogą znaleźć się w oprogramowaniu stron internetowych, systemów operacyjnych, aplikacji i urządzeń. Z pojęciem podatności łączy się exploit, czyli kod oprogramowania lub technika wykorzystująca lukę w oprogramowaniu do przeprowadzenia ataku lub uzyskania nieautoryzowanego dostępu.

Najczęściej wykorzystywane luki bezpieczeństwa w 2021

Według opublikowanego w połowie 2021 raportu Risk Based Security[i] nastąpił w porównaniu z 2020 wzrost o 2,8% liczby ujawnionych luk w zabezpieczeniach. Zespół zajmujący się kategoryzacją tych zdarzeń odnotowywał w pierwszej połowie 2021 średnio 80 nowych podatności w zabezpieczeniach dziennie. W raporcie podano także liczbę luk w zabezpieczeniach w drugim kwartale 2021 dla poszczególnych systemów. Najwięcej odnotowano ich w oprogramowaniu Debian Linux (628), systemie Fedora (584), openSuSE Leap (526) i dla Ubuntu (443). W pierwszej dziesiątce producentów pod względem ujawnień luk w zabezpieczeniach w drugim kwartale 2021 r. znalazły się: Microsoft (627), SUSE (590), Fedora (584), IBM (547) oraz Oracle i Google – powyżej 500. Listę uzupełniły Cisco, Canonical i Red Hat z ponad 400 ujawnionymi lukami.

W lipcu 2021 r. amerykańska Cybersecurity and Infrastructure Security Agency (CISA) opublikowała raport[ii] szczegółowo opisujący najistotniejsze luki w zabezpieczeniach w latach 2020 i 2021. Z raportu wynika, że cyberprzestępcy najczęściej wykorzystują podatności znalezione po 2019 roku i mające znaczenie dla pracy zdalnej w rozwiązaniach VPN (Virtual Private Network) i w technologiach opartych na chmurze.

Jak chronić się przed zagrożeniem?

Podstawową formą ochrony przed zagrożeniem wynikającym z luk bezpieczeństwa jest ich jak najszybsze łatanie. Często jednak proces śledzenia wszystkich aktualizacji oprogramowania bywa trudny, bo łatki dostarczane są z pewnym opóźnieniem. Bynajmniej nie oznacza to jednak, że przedsiębiorstwa są w tej sytuacji bezbronne. Wykrywanie samych podatności, a nawet podejrzanych zachowań w systemie, mogących wskazywać na wykorzystanie luk w systemach są w stanie wyśledzić eksperci od bezpieczeństwa, dysponujący doświadczeniem i odpowiednimi narzędziami. Nie każda firma może pozwolić sobie na wydatki wiążące się z zatrudnieniem u siebie i utrzymaniem specjalistów od bezpieczeństwa, dlatego kluczowe może być powierzenie opieki nad bezpieczeństwem systemów wyspecjalizowanym zespołom, zajmującym się cyberbezpieczeństwem.

Możliwości skorzystania z takich usług zapewniają zewnętrzne data center. T-Mobile dostarcza stały monitoring zespołów bezpieczeństwa Security Operations Center (SOC) we własnych Data Center pomagając wykrywać i zapobiegać atakom przez całą dobę. Usługi oferowane w ramach SOC pozwalają ekspertom od bezpieczeństwa m.in. zatrzymywać ataki prowadzące do wycieku danych lub przejęcia kontroli nad aplikacjami. SOC T-Mobile dostarcza ochronę przed tym typem zagrożeń w ramach Cloud Security, w części end point protection. Vulnerability Management dostarczane jest przez tego operatora poprzez dodanego agenta Crowdstrike. Oprogramowanie to ma na celu analizę, wykrywanie i wskazywanie podatności  systemów operacyjnych oraz aplikacji znajdujących się na serwerze lub komputerze PC użytkownika. Dodatkowo, dostarczany w ramach usługi raport informuje, co należy zrobić, by zabezpieczyć organizację przed zagrożeniem związanym z wykrytymi podatnościami. Można odczytać z niego jaki patch zastosować, jaką inną wersją zastąpić „dziurawe” oprogramowanie oraz jaki upgrade należy wykonać.

Każda organizacja powinna cyklicznie weryfikować pod kątem bezpieczeństwa takie elementy jak infrastruktura teleinformatyczna, zabezpieczenia aplikacji WEB, punkt styku z Internetem oraz kulturę bezpieczeństwa. T-Mobile realizuje Badanie Wrażliwości umożliwiające kontrolę rzeczywistego stanu ochrony organizacji przez zagrożeniami. W ramach tej usługi sprawdzana jest odporność  przedsiębiorstwa na niebezpieczeństwa wynikające z niepożądanych i niespodziewanych zdarzeń zakłócających funkcjonowanie biznesu.

Lista niektórych istotnych podatności wykrytych w 2021 roku

Git[iii] – podatność istotna dla developerów korzystających z tego narzędzia

Git to rozproszony system kontroli wersji oprogramowania. Błąd wykryty został w marcu 2021, ale po raz pierwszy znalazł się w wersji 2.14.2 z 2017 roku. Pozwalał na wykonanie obcego kodu podczas operacji klonowania. Luka dotyczyła tylko użytkowników z systemami plików nie rozróżniających wielkości liter z obsługą dowiązań symbolicznych. Dodatkowo, aby atak zadziałał musiały być włączone specjalne filtry Git LFS. Rozwiązaniem jest aktualizacja narzędzia do najnowszej wersji, która nie posiada już tej luki.

Node.js[iv] – aplikacje, systemy i rozwiązania wykorzystywane do łączenia w Internecie

Node.js wykorzystywany jest w wielu zastosowaniach, od aplikacji chat po systemy wbudowane i urządzenia połączone z Internetem. Node.js podatny był na ataki Remote Code Execution XSS. Możliwość ataku wynikała z braku weryfikacji danych wejściowych nazw hostów zwracanych przez serwery nazw domen w bibliotece Node.js DNS. W efekcie prowadziło to do tworzenia błędnych nazw hostów i pozwalało na przejęcie kontroli nad domenami.

Systemy do zarządzania treścią WordPress i Joomla

WordPress wykorzystywany jest w ponad 455 milionach witryn, w tym także biznesowych. Jest to platforma otwarta, umożliwiająca tworzenie dodatków (plug-in) oraz tematów graficznych, co powoduje, że każdego roku pojawiają się tysiące nowych komponentów, potencjalnie zawierających luki w oprogramowaniu. Wymaga to systematycznego łatania instalacji przez użytkowników. Także sama platforma jest stale poddawana aktualizacjom. Przykładowo, odkryta i załatana w 2021 roku luka w zabezpieczeniach WordPress XXE[v] umożliwiała atakującym dostęp do plików hosta.

Narażony na podatności jest także system zarządzania treścią Joomla, zainstalowany na około 1,5 miliona stron internetowych. W 2021 wykryto m.in. dwie luki w zabezpieczeniach – lukę resetowania hasła i lukę w przechowywanych skryptach krzyżowych (XSS)[vi]. Zostały one odkryte przez analityków bezpieczeństwa z Fortbridge i ujawnione programistom Joomla odpowiednio w lutym i marcu.

Luka w zabezpieczeniach Teams po stronie serwera[vii]

Szacuje się, że Microsoft Teams posiada ponad 100 milionów aktywnych użytkowników. Odkryta luka umożliwiała osobie atakującej przejęcie kontroli nad kontem użytkownika końcowego. Mogła zapewnić mu dostęp do historii czatów ofiary, możliwość czytania i wysyłania wiadomości e-mail w imieniu ofiary oraz dostęp do plików OneDrive. Luka znajdowała się po stronie serwera i została naprawiona przez Microsoft bez konieczności interwencji ze strony użytkownika.

Luka w Cloudflare CDN[viii]

Cloudflare załatał lukę, która mogła doprowadzić do udanych cyberataków na 12,7% spośród wszystkich stron internetowych korzystających z bibliotek JavaScript i CSS cdnjs hostowanych przez dostawcę usług CDN. Luka została załatana, zanim cyberprzestępcy mogli przygotować narzędzia wykorzystujące podatności.

Potencjalnie mogła ona umożliwić atakującym wykonanie dowolnych poleceń i złamanie zabezpieczeń całej biblioteki cdnjs. W efekcie pozwoliłaby cyberprzestępcom na pobieranie dowolnych plików z systemu plików serwera. Ponieważ wiele systemów operacyjnych zachowuje krytyczne informacje w standardowych katalogach, na przykład systemy uniksowe przechowują hasła w „/etc/passwd”, atakujący mogliby uzyskać dostęp do katalogów zawierających informacje, które pozwoliłyby im przejąć kontrolę nad stronami internetowymi.

Błąd w oprogramowaniu VMware vCenter Server

We wrześniu firma VMware ujawniła, że w oprogramowaniu vCenter Server znajduje się błąd umożliwiający przesyłanie dowolnego pliku w usłudze Analytics. Cyberprzestępca mógł wykorzystać tę lukę do wykonania kodu na serwerze vCenter Server. W efekcie możliwa byłaby kradzież poufnych danych oraz własności intelektualnej, a także ataki ransomware z wymuszaniem okupu od ofiar. Firma VMware udostępniła aktualizacje usuwające to zagrożenie.

Podatność umożliwiająca zdalne przejmowanie Windows Serwerów

„PrintNightmare” to nazwa przypisana do krytycznej luki bufora wydruku systemu Windows, która umożliwiała wykonanie dowolnego kodu z uprawnieniami na poziomie systemu. Osoba atakująca, której udałoby się wykorzystać tę lukę, mogła uruchomić dowolny kod z uprawnieniami SYSTEM. Atakujący mógł wówczas zainstalować programy, przeglądać, zmieniać i usuwać dane lub utworzyć nowe konta z pełnymi prawami użytkownika. Warto dodać, że pierwszego zgłoszenia tej luki Microsoftowi dokonał Polak, Piotr Madej[ix]. Podatność została załatana w lipcu 2021[x].

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące luk bezpieczeństwa:

• Luka w oprogramowaniu (podatność) pozwala atakującym wykonać działania, których twórca softwaru nie przewidział. Konsekwencją wykorzystania luki może być wyciek danych, zdobycie przez cyberprzestępcę uprawnień umożliwiających mu wykonanie działań w systemie lub ingerencję w kod oprogramowania
• Zgodnie z opublikowanym w połowie 2021 raportem Risk Based Security nastąpił w porównaniu z 2020 wzrost o 2,8% liczby ujawnionych luk w zabezpieczeniach. Zespół zajmujący się kategoryzacją tych zdarzeń odnotowywał średnio 80 nowych podatności w zabezpieczeniach dziennie
• Formą ochrony przed zagrożeniem wynikającym z luk bezpieczeństwa jest ich jak najszybsze łatanie
• SOC T-Mobile dostarcza ochronę w postaci Vulnerability Management poprzez dodanego agenta Crowdstrike. Oprogramowanie to ma na celu analizę, wykrywanie i wskazywanie podatności  systemów operacyjnych oraz aplikacji znajdujących się na serwerze lub komputerze PC użytkownika
• Wszystkie organizacje powinny weryfikować pod kątem bezpieczeństwa takie elementy jak infrastruktura teleinformatyczna, zabezpieczenia aplikacji WEB, punkt styku z Internetem oraz kulturę bezpieczeństwa. T-Mobile poprzez Badania Wrażliwości (Security Awareness) umożliwia weryfikację rzeczywistego stanu ochrony organizacji przez zagrożeniami

[i] https://pages.riskbasedsecurity.com/hubfs/Reports/2021/2021%20Mid%20Year%20Vulnerability%20QuickView%20Report.pdf

[ii] https://us-cert.cisa.gov/ncas/alerts/aa21-209a

[iii] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21300

[iv] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

[v] https://cve.report/qid/154095

[vi] https://www.fortbridge.co.uk/advisories/joomla-password-reset-vulnerability-and-stored-xss-for-full-compromise/

[vii] https://www.tenable.com/blog/vulnerability-in-microsoft-power-apps-service-allows-theft-of-emails-files-and-more

[viii] https://securityboulevard.com/2021/08/cloudflare-vulnerability-enabled-compromise-of-12-of-all-websites/

[ix] https://sekurak.pl/uwaga-na-krytyczna-podatnosc-cve-2021-1675-mozna-zdalnie-przejmowac-windows-serwery-podatne-wszystkie-systemy-od-wersji-2008/

[x] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

Ten artykuł dotyczy produktu

Badanie Wrażliwości

Przejdź do produktu

Data publikacji: 11.01.2022