Уязвимости

10-те най-големи сайта за онлайн резервации на полети, хотели, коли под наем и ваканционни пакети, включително Orbitz, Kayak, Skyscanner и Travelocity, имат проблеми с киберсигурността. Четири от компаниите са изключително уязвими – цели 91% от сериозните уязвимости са открити в техните системи.

Според компанията за киберсигурност Cequence те позволяват дори атаки от типа man-in-the-middle (MiTM), при които нападателите могат да прихващат и манипулират комуникациите им с потребителите. 

Недостатъците са свързани с облачната инфраструктура на платформите – техните облачни системи се разрастват много бързо и не могат да бъдат ефективно управлявани. Това увеличава броя на публично достъпните облачни инстанции, така че в един момент организациите дори не знаят какви технологични активи съществуват в тяхната мрежа, камо ли да ги защитят. 

Подобни уязвимости могат да доведат до финансови загуби и кражба на самоличност за потребителите, но и до репутационни щети и правни проблеми за самите доставчици на услуги. 

В случая става дума за туристическата индустрия, но облачните операции стават все повече в почти всеки един сектор днес. Така че бизнесите трябва да бъдат много внимателни, когато разширяват използването на облака, и този процес винаги да бъде съобразен със сигурността.  

Докладваните уязвимости са се увеличили с 43% през първото полугодие на 2024 г. в сравнение със същия период на 2023 г. За да си осигурят първоначален достъп, нападателите са се насочили предимно към пропуски във виртуални частни мрежи (VPN) и други периферни системи. 

Според нов доклад на компанията за киберсигурност Forescout през първите шест месеца на 2024 г. са докладвани общо 23 668 уязвимости, като средно на ден са се появявали по 111 нови. По-голямата част от тях са със средна (39%) или ниска (25%) оценка за сериозност (CVSS), а само 9% са с критична. 

Най-често засегнатите компании са Microsoft (17%), Google (8%), Apple (6%), D-Link (6%), Ivanti (6%), Android (5%) и Cisco (5%).  

Повечето участници в заплахите произхождат от Китай (65), Русия (36) и Иран (21).  

Атаките с ransomware също са се увеличили. През първото полугодие на 2024 г. броят им е нараснал с 6% в сравнение с първите шест месеца на 2023 г., достигайки 3085. Най-активната група на това поле е LockBit, отговорна за 15% от атаките, следвана от Play (6%), RansomHub (6%), Cactus (5%), Akira (5%), Hunters (5%) и BlackBasta (5%). 

Google вдига повече от два пъти максималното възнаграждение за откриване грешки в сигурността на Chrome, докладвани през нейнта Vulnerability Reward Program. Най-голямата награда – за заобикаляне на MiraclePtr (основна технология, подобряваща сигурността на браузъра) – скача от 100 115 USD на 250 128 USD. Сумите ще бъдат по-големи и за други открити грешки в браузъра и дейности по програмата. 

Google категоризира уязвимостите в зависимост от тяхното въздействие и потенциална вреда като такива със: 

• слабо въздействие (нисък потенциал за експлоатиране, слаб контрол от страна на нападателя, нисък риск/потенциал за вреди за потребителите);
• умерено въздействие (умерени предпоставки за експлоатиране, достатъчна степен на контрол от страна на нападателя);
• голямо въздействие (пряк път към експлоатиране, доказуема и значителна вреда за потребителя, възможност за дистанционно експлоатиране и ниски предварителни условия за такова). 

Откакто стартира своята програма през 2010 г., Google е изплатила над 50 млн. USD на изследователи по сигурността, които са докладвали за над 15 000 уязвимости. 

 

 

Велосипедите от висок клас, които използват технологията Di2 на Shimano, имат значителни уязвимости в киберсигурността на безжичните системи за смяна на предавките.  

Компютърни специалисти от University of California, San Diego, и Northeastern University са разкрили три основни слабости: 

• нападателите могат да уловят и да предадат повторно командите за смяна на предавките от разстояние до 10 метра;
• системата е податлива на целенасочени атаки за заглушаване, при които смяната на предавките става невъзможна;
• използването на комуникационен протокол, наречен ANT+, води до изтичане на телеметрични данни, което позволява проследяването на позицията на предавката. 

До момента не са докладвани реални инциденти през тези уязвимости, но ако имате велосипед със система Shimano Di2: 

• инсталирайте динамични кодове, които гарантират, че всяка команда е уникална и не може да бъде използвана повторно; 
• засилете протоколите за криптиране, за да се защитите от неоторизиран достъп. 

 

Google пусна спешна актуализация на Chrome (версия 128.0.6613.84/85) в отговор на активно експлоатирана уязвимост от типа zero-day (CVE-2024-7971).  Категоризирана като проблем с объркване на типовете в JavaScript, тя представлява значителен риск за потребителите. Уязвимостите, свързани с объркване на типовете, позволяват на атакуващите да изпълняват злонамерен код на машината на жертвата, потенциално водещ до кражба на данни, неоторизиран достъп или инсталиране на зловреден софтуер.  

Актуализацията Chrome 128 не само поправя CVE-2024-7971, но също така отстранява няколко други уязвимости с висока степен на сериозност, включително CVE-2024-7964 (Използване след освобождаване в частта с попълване на пароли). 

Предвид активната експлоатация на CVE-2024-7971, всички потребители на Chrome трябва незабавно да актуализират браузърите си до версия 128.0.6613.84 или по-нова. Те могат ръчно да проверят за актуализации, като отидат в менюто с настройки на Chrome, изберат “Помощ” и след това “Относно Google Chrome”. Браузърът автоматично ще провери за актуализации и ще подкани за рестартиране, след като най-новата версия бъде инсталирана. 

Осем уязвимости в приложения на Microsoft за macOS позволяват на хакерите да заобиколят рамката за сигурност на Apple Transparency, Consent and Control (TCC). Според Cisco Talos те дават възможност на нападателите да използват правата на Teams, PowerPoint, OneNote, Excel и Word, за да получат неоторизиран достъп до чувствителни данни и ресурси без съгласието на потребителя. 

Това става възможно, тъй като някои приложения имат определени права, които деактивират критични функции за сигурност. Например Teams има правомощието com.apple.security.cs.disable-library-validation, което му позволява да зарежда библиотеки на трети страни, без да извършва проверка на подписа. Като използват неговата уязвимост и това правомощие, нападателите вкарват зловредни библиотеки, които наследяват разрешенията на довереното приложение.  

Веднъж влезли в системата, те подмамват потребителите да отворят злонамерени прикачени файлове или да кликнат върху компрометирани връзки. След това зловредните библиотеки повишават привилегиите на нападателя, като му предоставят достъп до чувствителни данни и системни ресурси. 

За да намалите риска, ви съветваме: 

• актуализирайте редовно софтуера; 
• бъдете предпазливи към непознати връзки и прикачени файлове; 
• използвайте реномирани решения за сигурност; 
• изградете си навици за безопасно сърфиране. 

Идентифицирани са 226 потенциални уязвимости в девет популярни WiFi рутера, дори при работа с най-новия фърмуер. Изследването е проведено от IoT Inspector.

Начело на списъка е TP-Link Archer AX6000 (с 32 уязвимости), следва Synology RT-2600ac (с 30 грешки в сигурността). Тествани са още рутери, произведени от Asus, AVM, D-Link, Netgear, Edimax и Linksys – всички те се използват от милиони хора.

Специалистите са открили и някои общи проблеми, които се отнасят до повечето тествани модели:

• Остаряло Linux ядро във фърмуера
• Остарели мултимедийни и VPN функции
• Използване на по-стари версии на BusyBox
• Използване на слаби пароли по подразбиране (напр. „admin“)
• Кодирани идентификационни данни под формата на текст

Всички засегнати производители пуснаха пачове на фърмуера, които елиминират голяма част от откритите уязвимости, но не всички.

Препоръка:

Ако използвате някой от споменатите модели, препоръчваме:

• Да приложите наличните актуализации на защитата
• Да активирате „автоматичните актуализации“
• Да промените фабричната парола по подразбиране с уникална и силна парола

Внимание! Прилагайте тези правила при първо стартиране на всяко IoT устройство – у дома или в корпоративната мрежа.

Zero-day или 0-day (oh day) – “нулев ден” на български – е клас уязвимости (vulnerability) или методи за атака (exploit). Използването на този термин стартира през 90-те години на миналият век в warez BBS средите.

Малко история

Определението Х-day, където Х е брой дни – 30, 60 и т.н., се е използвало за да се отбележи колко време е необходимо, за да се изготви пиратска версия (крак) за даден софтуер, след първоначалното му публикуване. Най-търсен и елитен е бил пиратският софтуер, маркиран със 0-day етикет, понеже официално не е бил публикуван никъде и най-вероятно за набавянето му е била хакната компанията, която го разработва.

0-day днес – какво се е променило

В наши дни терминът има съвсем друго значение – характеризира клас уязвимости (слабост/недостатък/пропуск), открити от независими субекти (изследователи в областта на информационната сигурност) преди собственика/разработчика на съответния софтуер/хардуер.

Интерпретацията на “0” може да бъде доста разновидна, но двете най-точни определения са:

• 0 дни за подготовка от страна на защитаващата страна, за да се предпази от атаките на недоброжелатели
• 0 дни, за да се изготви fix/patch от страна на производителя/разработчика на засегнатият софтуер/хардуер

И в двата случая можем да преведем 0-day като „никакво време”.

0-day уязвимости и 0-day атаки

0-day може да бъде както уязвимост, така и експлойт/вектор за атака. Когато става дума за 0-day уязвимост, то тя може да бъде теоретична или много трудна за експлоатиране, да има определени условия/изисквания, за да бъде успешна атака и т.н.

0-day атаки/експлойти, от друга страна, са много „по-страшни“ и изискват спешни действия за справяне с тях. Не забравяйте, че някой вече е намерил съответната уязвимост, разучил я е и успешно осъществява атаки „in the wild“ (в реални условия срещу реални жертви).

Още малко теория

Може да срещнете, макар и доста рядко, терминът Forever-day vulnerability. Това означава, че откритият 0-day няма да бъде поправен от разработчика/вендора. Причините може да са, че продуктът вече не се поддържа (End-of-Life) или разработчикът няма интерес да поправи пропуските.

В такава ситуация имате две възможности:

• Да потърсите алтернативен продукт (софтуер/хардуер), който не ви излага на риск
• Да приложите заобиколен начин (workaround) за смекчаване/отстраняване на уязвимостта

Времевата линия при откриването на 0-day

Дефинирането и точното описание на 0-day уязвимост или експлойт е доста трудно. Повече детайли можете да откриете в блог поста Like Nailing Jelly to the Wall: Difficulties in Defining “Zero-Day Exploit”.

Кой, как и защо търси 0-day уязвимости

Пропуски, слабости и бъгове в софтуерни и хардуерни продукти се намират постоянно и по най-различни начини, канали и поводи.

В зависимост от целта обаче, можем да разделим субектите, занимаващи се със 0-day уязвимости и/или експлойти, в следните категории:

• Добронамерени изследователи (security researchers)

Независими или работещи за дадена компания, тези професионалисти търсят 0-day уязвимости за да ги докладват на производителите/вендорите.

Процесът по докладване се нарича “responsible disclosure” или “coordinated disclosure”. Случва се изследователите да не могат да осъществят контакт, да не срещнат съдействие или дори да бъдат заплашени със съд от страна на производителя.

При такива обстоятелства, изследователите извършват Full Disclosre, т.е. правят своето откритие публично достояние и то без да спестяват детайли. Неписано правило е, че ако 90 дни след Responsible Disclosure, вендорът не е взел мерки и не е публикувал patch, адресиращ уязвимостта, то изследователят има право да сподели своето откритие, без това да се счита за неморално.

Случва се също изследовател да постъпи неетично и да публикува откритията си, дори преди да е направил опит да предупреди производителя. Това обикновено има негативни последствия за имиджа на изследователя, тъй като поставя потребителите и клиентите на въпросния производител в риск.

• Самите производители

Една част от 0-day уязвимостите биват откривани от разработчика на съответния продукт/услуга и биват отстранявани без да е необходимо да бъдат публично оповестявани.

Когато съществуват съмнения, че тези уязвимости са били експлоатирани „in the wild“, вендорите би трябвало да следват добрите практики и да направят Full Disclosure. Такъв пример е 0-day атаките срещу Sophos XG NGFW през пролетта на 2020 г.

• Криминални организации и злонамерени хакери

Те имат същите професионални умения като добронамерените изследователи, но често, финансово мотивирани, се “крият в сенките” и опитват да се възползват максимално от своите открития.

• Шпионски, военни и спонсорирани от държавата организации (Advanced Persistent Threats – APT)

Някои от вас ще си помислят, че се шегувам и ще кажат: “Този е гледал твърде много филми за агент 007 и прекарва твърде много време в разнищването на конспирации!”.

Тези, които имат задълбочен опит в сферата на киберсигурността ще потвърдят, че именно тези организации са най-големият “производител” на 0-day експлойти!

Няма как да сте забравили за NotPetya и WannaCry! А помните ли, че EternalBlue експлойтите, използвани в тези червеи (worms), са всъщност 0-days изтекли от NSA (No Such Agency?!).

Ще освежа паметта ви с The “Shadow Brokers” Story и със скорошните атаки, експлоатиращи 0-days в Exchange сървъри.

На най-недоверчивите препоръчвам The Perfect Weapon, Zero Days, Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon, DARKNET DIARIES EP 29: STUXNET

Zero-day по света

Наскоро FireEye публикува изследване, включващо географското разпределение на 0-day уязвимости/атаки през последните няколко години:

Game Theory: Why System Security Is Like Poker, Not Chess предлага една по-различна перспектива по темата.

Бизнесът със 0-days

Като оставим настрана шпионските игри, 0-days са чист бизнес, който цели генериране на финансова печалба или имидж. Ето кои са едни от най-големите играчи:

• Zerodium: Компания, която търгува със 0-day уязвимости и създава експлойти. Цената на някои 0-days е внушителна (2,5 млн. USD). Компанията често е обект на критика, поради липсата на прозрачност относно клиентите ѝ.
• ZeroDayInitiative (ZDI): Платформа, финансирана от Trend Micro. Напълно прозрачна относно процеса и възнагражденията (макар и доста по-малки от тези на Zerodium), предлагани в замяна на 0-day уязвимости и експлойти. ZDI са организатор на Pwn2Own състезанието, за което сме писали няколко пъти. Горещо препоръчвам DARKNET DIARIES EP 82: MASTER OF PWN
• NSO Group и Cellbrite: Kомпании, фокусирани върху предлагането на продукти и услуги, използващи 0-day експлойти. Често са обект на критика, защото търгуват с държави, управлявани чрез диктатура. NSO Group стана най-известна след разкритията на канадската CitizenLab: HIDE AND SEEK Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries
• Google Project Zero: Мисията им е да направят откриването и експлоатацията на 0-day уязвимости от недоброжелатели по-трудни, съответно да подобрят значително безопасността и сигурността на Интернет за всички. Публикуват и поддържат таблицата 0-day “In the Wild”. Наскоро откриха 11 0-day уязвимости, използвани в изключително сложна атака срещу Windows, Android и iOS потребители (за сравнение – Stuxnet използва 4).
• MSRC – Microsoft Security Response Center и TALOS са подорганизации съответно на Microsoft и Cisco. Те също се занимават с откриването и отстраняването на уязвимости, независимо от производителя.

Как да се предпазите

Макар да няма “универсална” защита и стратегия срещу 0-day експлойти, спазването на добра работна хигиена е задължителна:

• Следете новините, за да сте информирани за новооткритите 0-day уязвимост или експлойти
• Поддържайте системите актуални (up-to-date)
• Минимизирайте повърхността за атака (attack surface)
• Следвайте всички добри практики в сферата на киберсигурността

ФБР и CISA (Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ) предупреждават, че все още се злоупотребява с Fortinet устройства, които не са своевременно актуализирани.

APT групи могат да използват активно известните уязвимости на Fortinet FortiOS CVE-2018-13379, CVE- 2020-12812 и CVE-2019-5591, за да получат първоначален достъп до множество правителствени, търговски и технологични услуги.

Fortinet препоръчва, ако не използвате най-новата им версия, да посетите Fortinet PSIRT, за да оцените потенциалните рискове.

Доскоро Signal беше смятан за един от най-сигурните и поверителни начини за комуникация. Дали това продължава да е така?

Данни от изтекли съдебни документи сочат, че Федералното бюро за разследвания (ФБР) разполага с инструмент, който позволява достъп до криптирани съобщения в приложението Signal.

Според информация, оповестена от Forbes, шифрованите съобщения могат да бъдат прихващани върху iPhone устройства, когато те са в режим на „частичен AFU“ т.е. „след първо отключване“.

Предполага се, че ФБР използва много усъвършенстван подход, като се възползва хардуерни уязвимости за извличане на чувствителна информация – един от спряганите инструменти е GrayKey.

Израелската компания Cellebrite също се споменава като вероятен разработчик на инструментите за разбиване на криптирани съобщения в Signal. Твърди се, че компанията е добавила и възможност за прескачане на началния екран в операционната система Android. По този начин се дава възможност за работа върху устройството без да е нужно преминаването през проверка на ПИН или биометрика.

Signal е платформа за обмен на съобщения и медия, която бързо набра популярност сред потребителите, които бранят личното си пространство.

Последни данни обаче сочат, че платформата може да е уязвима и да има „пролуки“, които подкопават защитата на поверителността, предоставена чрез услугата за криптирани съобщения. Дори се допуска, че може да не става дума за недостатък в дизайна, а по-скоро за умишлена задна врата, която позволява на властите да имат достъп до лични съобщения.

Не е трудно да предположим, че след като съобщенията в Signal могат да бъдат прихванати от федералните власти, то и потенциално враждебни интереси биха могли да се възползват.