Обзор уязвимостей за 2011 год

Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows.

Сколько уязвимостей было устранено?
Всего за год было описано 4733 уязвимостей. К 1 января производители программного обеспечения смогли устранить только 58% уязвимостей и выпустить инструкции по устранению для еще 7%. Таким образом, больше трети уязвимостей остались открытыми для киберпреступников.

Программы Adobe взламывают все чаще
Уязвимости нулевого дня — головная боль для разработчиков. Эти бреши в системе активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода исправления.

Любопытно отметить рост числа таких уязвимостей в продуктах Adobe — в минувшем году их число достигло семи (по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, в продуктах которой было обнаружено 5 уязвимостей нулевого дня). В числе свежих примеров — обнаруженная в конце 2011 года уязвимость с идентификатором CVE-2011-2462 в Adobe Reader, которая использовалась для взлома компании ManTech, подрядчика министерства обороны США.

Браузер Opera — самый безопасный?
Наиболее защищенным браузером (в отношении количества уязвимостей, найденных в 2011) стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. Кроме того, в минувшем году у ведущих браузеров было найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer, и одну обнаружили в Chrome 11.x.

Windows — почти 100 уязвимостей за год
Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами у продукта от Microsoft их было найдено больше всего. Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном:у этой ОС в отчетный период была опубликована информация о 2 критических уязвимостях. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну.

Все внимание к SCADA-системам
В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен: именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.

CMS и форумы — благоприятная среда для хакеров
Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые удерживают второе место по количеству уязвимостей (7%).

Защищенность Apple iTunes под вопросом
Прошлогодний хит-парад наиболее уязвимых медиапроигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка находится распространенный VLC Media Player (15 уязвимостей), а у Windows Media Player было обнаружено всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes.

77% «дыр» в системе можно использовать удаленно  
Если рассмотреть все уязвимости за 2011 год, то можно заключить, что злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация.

Каждая четвертая уязвимость позволяет скомпрометировать систему
Примерно четверть уязвимостей (24%) позволяли хакеру скомпрометировать систему, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходил для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных.

Уязвимости как способ остановить завод и ядерную программу
В 2011 году специалисты в полный голос заговорили о наступлении эпохи холодной кибервойны. Мишенями хакеров становятся промышленные предприятия и военные секреты. Осенью стало известно о троянском вирусе под названием Duqu. Он проникает в компьютер под управлением Windows, используя критическую уязвимость с идентификатором CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с червем Stuxnet, который в 2010 году вывел из строя несколько иранских заводов по обогащению урана.

Поддельные SSL-сертификаты — месть за Иран?
Весной и летом 2011 года тегеранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай оказался особенно «урожайным». Часть украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и МИ-6. Помимо международной киберразведки, похищенные «цифровые паспорта» использовались для атак типа man-in-the-middle (MitM). Хакер пропускал интернет-траффик «клиента» через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в незашифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.

Цифровые подписи и военные секреты США
Взломав серверы компании RSA Security в середине марта 2011 года, неизвестные хакеры поставили под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более 40 миллионов работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием «План комплектования штата 2011.xls». Зараженная таблица при открытии инициировала установку на ПК бекдора Poison Ivy, эксплуатируя уязвимость с идентификатором CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей злоумышленники пытались взломать серверы крупнейшего в мире предприятия ВПК – корпорации Lockheed Martin.

Что бывает из-за несоответствия стандарту PCI DSS
В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платежных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платежных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удаленного администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.

Исследовательский центр Positive Research совместно с порталом, по информационной безопасности, SecurityLab.ru продолжает анализировать уязвимости информационных систем. Результаты последующих исследований будут раскрыты на международном форуме по практической безопасности Positive Hack Days 30–31 мая 2012 года в Москве.

Редактор раздела: Алена Журавлева (info@mskit.ru)

Информация с сайта: www.nnit.ru