Уязвимости

Последен ъпдейт на 18 януари 2025 в 09:20 ч.

2024 г. ни демонстрира от всичко по много по отношение на киберрисковете. Различни типове атаки, експлойти и, разбира се, множество уязвимости поставиха на изпитание всички индустрии. За поредна година хакерите показаха, че не са се отказали от целта си да стават все по-изобретателни.

Експертите са категорични, че тази притеснителна тенденция ще се запази и през 2025. Ето кои са 10-те киберзаплахи, които ще продължат да се развиват и през тази година.

Zero day eксплойти

Пробивите от типа Zero day и увеличаването на техния обем са особено тревожна тенденция. За тях по условие няма пачове. Освен че организациите не могат да се защитят, нападателите могат да компрометират системите незабелязано.

Пример за това е Log4Shell – критична RCE уязвимост в Java Naming and Directory Interface (JNDI) на Log4j. През нея нападателите можеха лесно да поемат контрол над уязвимите системи – значителна заплаха, тъй като Log4j се използва в почти всяко Java приложение.

Добрата новина е, че все по-широкото използване на изкуствен интелект от страна на защитниците се очаква да промени пейзажа. То ще автоматизира процеса на откриване на скрити софтуерни недостатъци.

Все пак не трябва да забравяме, че нападателите също взимат на въоръжение технологията.

Supply Chain атаки

Supply Chain атака остава активна заплаха, която се задълбочава, тъй като организациите зависят все повече от услугите на външни изпълнители. Най-големият проблем при тях е, че въздействието им се разпространява каскадно върху множество заинтересовани страни: клиенти, доставчици и т.н.

Най-известният пример на това поле е пробивът в SolarWinds. Той засегна системата за управление на мрежи SolarWinds Orion, използвана от над 30 000 организации – включително щатски и федерални агенции. В резултат на това backdoor malware  компрометира хиляди данни, мрежи и системи.

Той даде възможност на нападателите да изпълняват API команди, без на практика да имат подобни права.

Използване на инфраструктурата за дистанционна работа

След 2020 г. и пандемията COVID-19 организациите се ориентираха към миодели за дистанционна и хибридна работа. Това обаче се превърна в сериозен проблем за киберсигурността.

Нападателите се фокусираха върху уязвимости във VPN софтуерите, протоколите за отдалечени работни станции (RDP) и фишинг атаките през платформи като Zoom и Microsoft Teams.

Инцидентите, при които бяха използвани VPN и RDP за получаване на нерегламентиран достъп до корпоративни системи и мрежи, са стотици. Отдалечените служители често работят от по-слабо защитени среди, което ги превърна в особено уязвим вектор за атаки срещу бизнесите.

Според експертите инфраструктурата за отдалечена работа ще продължи да бъде основна цел за киберпрестъпниците през 2025 г.

Системи за изкуствен интелект и машинно обучение

С възхода на AI и все по-широкото му използване идват и все повече рискове той да бъде експлоатиран от хакерските групи. Атаките от типа data poisoning и model inversion излизат на преден план сред развиващите се рискове по отношение на машинното обучение (ML) и изкуствения интелект (AI).

Тези технологии стават неразделна част от системите за проверка на самоличността. Така че подобни атаки, които имат потенциала да неутрализират техните защити, носят сериозни рискове за организациите.

Неправилни облачни конфигурации

Тъй като бизнесите продължават да прехвърлят операциите си към облака, той ще продължи да се затвърждава като водещ вектор за атака за хакерите. Причината – облачните инстанции често не са правилно конфигурирани.

Сложността на тези среди ще продължава да се увеличава, което ще доведе до още повече грешки. А неправилните конфигурации могат да имат сериозни последици – нарушаване на сигурността на данните, неоторизиран достъп до критични системи, финансови загуби, увреждане на репутацията.

За да предотвратят пробиви в облака през 2025 г., компаниите трябва да се съсредоточат върху три ключови области: видимост, контрол на достъпа и непрекъснато наблюдение.

Очаквайте продължение!

Към днешна дата над три милиона POP3 и IMAP мейл сървъри без TLS криптиране са изложени на риск в интернет и са уязвими за мрежови атаки.

IMAP и POP3 са два различни метода за достъп до електронна поща. Първият се използва за проверка на имейли от множество устройства. Той съхранява съобщенията на сървъра и ги синхронизира. Вторият ги прави достъпни само за конкретно устройство, от което са изтеглени.

Протоколът за сигурна комуникация TLS помага да се защити информацията на потребителите при обмена и достъпа до техните имейли през приложения клиент/сървър. Когато този тип криптиране не е включено, съдържанието на съобщенията и идентификационните данни се изпращат в свободен текст. Това ги излага на риск от sniffing атаки.

Според платформата за киберсигурност ShadowServer около 3,3 милиона хостове използват POP3/IMAP услуги без включено TLS криптиране.

Ботнет мрежи използват активно 5 по-стари модела рутери на D-Link, предупредиха от компанията.

Устройствата, достигнали края на жизнения си цикъл, са изложени на повишен риск да станат мишена на щамове на зловреден софтуер, известни като „Ficora“ и „Capsaicin“.

Засегнатите устройства включват следните модели:

• SIEM as a Service;
• DIR-645;
• DIR-806;
• GO-RT-AC750;
• DIR-845L;

Ботнет мрежите се насочват към остарелия им фърмуер и се възползват от пропуските в сигурността, тъй като те вече не получават актуализации и пачове. След като бъдат компрометирани, тези рутери се използват за DDoS атаки и кражба на данни.

Ако разчитате на някой от тези модели:

• заменете ги с актуални продукти, които получават актуализации на фърмуера;
• ако незабавната подмяна не е възможна, уверете се, че устройството работи с възможно най-новия фърмуер;
• променете паролите за достъп до уеб конфигурацията и активирайте Wi-Fi криптирането със силни, уникални пароли.

Подкрепяна от Китай APT група е хакнала системите на Министерството на финансите на САЩ. Пробивът е станал възможен през платформа за дистанционна поддръжка, използвана от федералната агенция.

Според New York Times става въпрос за BeyondTrust. Компанията предлага SaaS софтуер, който може да се използва за отдалечен достъп до компютри.

Инцидентът се счита за особено сериозен.

По-рано този месец BleepingComputer съобщи, че BeyondTrust е била пробита. Тогава стана ясно, че нападателите са получили достъп до някои от инстанциите на SaaS услугата Remote Support на компанията. Те са използвали откраднат API ключ, за да нулират паролите на акаунтите на локалните приложения и да получат допълнителен привилегирован достъп до системите.

След като разследва атаката, BeyondTrust откри две Zero day уязвимости, които са позволили да се случи този пробив.

Министерството на финансите на САЩ е сред клиентите на една от тези компрометирани инстанции. Това е позволило на хакерите да откраднат документи от разстояние.

След като BeyondTrust откри нарушението, компанията изключи всички компрометирани инстанции и отмени откраднатия API ключ. Според ФБР и CISA няма доказателства хакерите все още да имат достъп до компютрите на агенцията.

Този пробив идва, след като наскоро APT групата Salt Typhoon проби системите на девет американски телекомуникационни компании. Сред тях бяха и някои от най-големите, включително Verizon, AT&T, Lument и T-Mobile.

Последен ъпдейт на 9 януари 2025 в 16:35 ч.

В първата част на тази статия разгледахме 5 основни киберзаплахи за малките бизнеси. Фишинг атаките, ransomware, зловредните софтуери и кампаниите от типа DDoS и Man in the middle са изключително опасни. За съжаление обаче далеч не са единствени.

Ето още пет типа кибератаки, които могат да убият малките бизнеси, и как организациите могат да намалят риска:

6. Вътрешни заплахи

Не забравяйте, че врагът може да се крие зад вашите стени. Организациите често се фокусират върху външните заплахи, но пренебрегването на вътрешните рискове е игнориране на бомба със закъснител. Последствията могат да бъдат опустошителни. Може да става въпрос за недоволен служител, който иска да си отмъсти, или за добронамерен, но невнимателен такъв, който щраква върху фишинг връзка.

За да се защитите:

• проверявайте задълбочена миналото на всеки служител, преди да му бъде предоставен достъп до чувствителна информация;
• въведете строг контрол на достъпа, за да гарантирате, че служителите достигат само до информацията, необходима за техните роли. Това важи и за най-довереното ви обкръжение;
• непрекъснатият мониторинг е най-добрият ви приятел при откриването и неутрализирането на вътрешните заплахи;
• редовно одитирайте достъпа до данни и дейностите в системата ви. Това може да вдигне тревога много преди да настъпи значителен пробив.

7. Password Attacks

Паролите често са първата линия на защита, но могат да бъдат и най-слабото звено, ако не се управляват правилно. Слабите и лесно отгатваеми пароли приличат на това да оставите входната си врата отключена в квартал с високи нива на престъпност. При различните видове brute force атаки киберпрестъпниците не се нуждаят от сложни методи, за да получат неоторизиран достъп до вашите системи.

Освен че трябва да са сложни, паролите не трябва да се съхраняват на листчета или в незащитена електронна таблица. Идеалната парола е не само трудна за отгатване, но и строго охранявана.

За да се защитите:

• използвайте инструментите за управление на пароли, които могат да ги генерират и съхраняват сигурно вместо вас;
• използвайте MFA, която добавя още едно ниво на сигурността. Тя изисква допълнителна информация или действие, за да се получи достъп до вашата система.

8. Уязвимости на IoT

IoT (Интернет на нещата) устройствата се появяват навсякъде – от интелигентни термостати до свързани кафемашини. Въпреки че улесняват живота ни, те невинаги са създадени с мисъл за сигурността. Производителите често дават приоритет на удобството за ползване и функциите пред протоколите за сигурност.

Липсата на вградена защита прави IoT устройствата лесно достъпни за киберпрестъпниците. Веднъж компрометирани, тези на пръв поглед безобидни джаджи могат да служат като троянски коне. Te предоставят на нападателите достъп до по-голямата ви и подсигурена мрежа.

Тя е много повече от компютри и сървъри. Един умен хладилник или свързаният принтер в дъното на коридора може да се окажат ахилесовата пета на вашата мрежа. Тези устройства често споделят една и съща инфраструктура с вашите критични системи. Уязвимост в едно IoT устройство може да послужи като отправна точка за киберпрестъпниците да компрометират по-критични системи.

За да се защитите:

• сегментирайте мрежите си, като държите IoT устройствата отделени от основните си бизнес операции;
• въведете строги мерки за сигурност. Това включва задаване на силни, уникални пароли за всяко устройство и редовното им актуализиране;
• не разчитайте на настройките по подразбиране;
• следете актуализациите на фърмуера и пачовете за сигурност;
• провеждайте постоянен мониторинг на мрежите си за необичайна активност. Това ще ви позволи да действате, преди да са нанесени значителни щети.

9. Социално инженерство

Когато става въпрос за киберсигурност, често се фокусираме върху софтуерните уязвимости и забравяме човешкия аспект. При социалното инженерство обаче основният вектор на атаката не е софтуера, а вашият персонал. Атакуващите използват общочовешки черти като доверие или страх, за да подмамят служителите да предадат пароли, банкови преводи или дори физически достъп до сградата ви.

Техниките за социално инженерство са изключително разнообразни, а най-лошото е, че не съществуват технологични решения срещу тях. Вашият най-съвременен firewall и най-добрите инструменти за криптиране няма да са от голяма полза срещу служител, подмамен да предаде данните си за вход.

За да се защитите:

• провеждайте редовни обучителни сесии, които да информират служителите ви за най-новите техники за социално инженерство;
• създайте протоколи за проверка на самоличността на всеки, който иска поверителна информация;
• проверявайте задълбочено имейлите, в които се иска достъп или информация до вашите системи.

10. SQL Injection

Атаката от типа SQL Injection е като вълк в овча кожа. Тя влиза незабелязано през полето за въвеждане на уебсайта, но е достатъчно мощна, за да разруши цялата ви база данни. Нападателите обикновено използват лошо проектирани формуляри на уебсайтове, за да вмъкнат зловреден SQL код, който базата данни може да изпълни. В резултат на това нападателите могат да го манипулират, крадат или дори изтриват вашите данни. Тези атаки са особено опасни, тъй като са насочени към мястото, където съхранявате най-чувствителната информация за бизнеса и клиентите си.

Последиците от SQL Injection обикновено са катастрофални. Данните на клиентите могат да бъдат откраднати, а интелектуалната ви собственост – компрометирана. Това може да доведе до нарушения на разпоредбите за защита на данните, големи глоби и правни санкции.

За да се защитите:

• използвайте параметризирани заявки, които гарантират, че нападателите не могат да си играят с вашите SQL команди;
• интегрирайте firewall за уеб приложения (WAF), който наблюдава и филтрира злонамерените HTTP заявки;
• провеждайте редовни одити на сигурността, за да идентифицирате уязвимостите, преди да бъдат използвани;
• направете превенцията ключов компонент на вашата стратегия за киберсигурност.

Швейцарския федерален технологичен институт в Лозана е постигнал 100% успеваемост при разбиването на защитите за сигурност на водещи GenAI модели. EPFL е използвал адаптивни jailbreak атаки срещу известни платформи като GPT-4 на OpenAI и Claude 3 на Anthropic.

По този начин моделите започват да генерират опасно съдържание, вариращо от инструкции за фишинг атаки до подробни конструктивни планове за оръжия.

Адаптивните атаки заобиколят мерките за сигурност, като се възползват от различни слаби места. Моделите започват да отговарят на злонамерени заявки като „Как да направя бомба?“ или „Как да проникна в правителствена база данни?“. По принцип разработчиците залагат предпазни мерки, които не позволяват платформите им да се използват за подобни цели.

Това е пореден пример, че, наред с позитивното си влияние, AI може да се превърне в оръжие в ръцете на хакерите.

Fortinet предупреди за вече поправена критична уязвимост в сигурността на Wireless LAN Manager (FortiWLM). Тя позволява разкриването на поверителна информация.

Уязвимостта има CVSS оценка 9,6 от максимална 10,0 и засяга следните версии на продукта:

• FortiWLM версии от 8.6.0 до 8.6.5 (отстранена във версия 8.6.6 или по-нови)
• FortiWLM версии от 8.5.0 до 8.5.4 (отстранена във версия 8.5.5 и по-нови).

В последно време устройствата на компанията се превърнаха в магнит за атаки. Затова потребителите трябва задължително да актуализират своите инстанции до последните налични версии.

Критична уязвимост позовлява заобикаляне на многофакторното удостоверяване (MFA) на Microsoft Azure. По този начин нападателят получава неоторизиран достъп до акаунта на жертвата, включително до имейлите в Outlook, файловете в OneDrive, чатовете в Teams и др. Тя излага на риск от превземане над 400 милиона акаунта в Microsoft 365.

Уязвимостта идва от липсата на ограничение за броя и скоростта на опитите за влизане с MFA. Друг проблем е, че времето, с което разполага нападателят, за да отгатне паролата, е с 2,5 минути по-дълго от препоръчителното.

Всичко това позволява бързото изчерпване на общия брой опции за 6-цифрен код, който е 1 милион, предупреждават от Oasis Security. Още повече, че собствениците на акаунти не получават никакво предупреждение за тези опити за влизане в профила им.

Въпреки че MFA все още се счита за един от най-сигурните начини за защита на онлайн акаунти, никоя система не е 100% защитена.

За да повишите нивата на киберсигурност, ви съветваме да:

• използвате допълнителни приложения за автентикация;
• интегрирате методи, които не са базирани на парола, като Passkey;
• добавите възможност за уведомява потребителите за неуспешни опити за влизане чрез MFA;

Дизайнерите на MFA приложения трябва да:

• залагат ограничения на скоростта, които не позволяват безкрайни опити за влизане;
• въведат функционалност за заключване на акаунта след определен брой неуспешни комбинации.

Нов тип атака използва стандарта SD Express, за да получи директен достъп до паметта на устройството чрез неговия четец на SD карти.

DaMAgeCard заобикаля традиционните мерки за сигурност. Той позволява на нападателите да извличат чувствителни данни или да инжектират зловреден код, без да имат физически достъп до целевото устройство.

Стандартът SD Express е въведен с цел повишаване на скоростта на пренос на данни в SD картите. С него те могат да работят както в режим SDIO, така и като PCIe/NVMe устройство. Това означава, че те могат да взаимодействат директно с шината за памет на системата. Тази възможност, макар и полезна за производителността, въвежда значителни рискове за сигурността, когато не се управлява правилно.

Атаката използва способността на SD Express картите да превключват между двата режима, показват в своя демонстрация от Positive Labs. Когато се поставят, хост контролерът обикновено започва в режим SDIO, след което преминава в PCIe. Той обаче може да бъде заблуден чрез емулиране на това взаимодействие.

Последиците от DaMAgeCard са сериозни. Тя може потенциално да:

• извлича чувствителни данни – ключове за криптиране или всякаква информация, съхранявана в оперативната памет;
• инжектира зловреден код, което да доведе до постоянни инфекции със зловреден софтуер или до неоторизиран контрол върху устройството;
• неутрализира традиционните протоколи за сигурност като IOMMU (Input-Output Memory Management Unit), което прави системите уязвими.

Фотографи, геймъри и други потребители, които се нуждаят от високоскоростен трансфер на данни, бързо възприемат SD Express технологията. Както се вижда обаче, тя отваря нови вектори за атака. Не забравяйте, че производителността никога не трябва да бъде за сметка на сигурността.

Набор от уязвимости позволява на фалшиви VPN сървъри да инсталират злонамерени актуализации, когато към тях се свържат клиенти на Palo Alto и SonicWall SSL-VPN.

Той се използва за кражба на входни данни, изпълнение на код с повишени привилегии и атаки от типа man in the middle. Нападателите подлъгват жертвите си да се свържат към контролираните от тях VPN сървъри чрез социално инженерство или фишинг атаки.

SonicWall са пуснали пачове за справяне с уязвимостта още през юли, докато Palo Alto Networks – едва вчера. Първите препоръчват потребителите да инсталират NetExtender Windows 10.2.341 или по-нови версии, а вторите – инсталирането на GlobalProtect 6.2.6 или по-нова версия. Стартирането на Palo Alto Networks GlobalProtect VPN клиента в режим FIPS-CC също намалява риска.

Съветваме ви възможно най-бързо да инсталирате пачовете, за да защитите вашите системи.