Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows. Данные приложения и системы в минувшем году часто становились доступными для проникновений. В этом обзоре мы расскажем о нескольких глобальных происшествиях, ставших результатом безобидных (на первый взгляд) уязвимостей, и приведем ряд статистических выкладок.
В 2011 году специалисты в полный голос заговорили о наступлении эпохи холодной кибервойны. Мишенями хакеров становятся промышленные предприятия и военные секреты. Например, осенью стало известно о троянском вирусе по имени Duqu. Он проникает в компьютер под управлением Windows, используя критическую уязвимость CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами. Некоторые эксперты отмечали, что фрагменты основного модуля Duqu имеют большое сходство с «червём» Stuxnet, который в 2010 г. вывел из строя несколько иранских заводов по обогащению урана.
Весной и летом 2011 г. иранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Второй случай выдался особенно урожайным. Часть из украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и MI-6. Помимо международной киберразведки, похищенные «цифровые паспорта» использовались для атак man-in-the-middle (MitM). Хакер пропускал интернет-траффик «клиента» через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.
Взломав сервера компании RSA Security в середине марта 2011 г., неизвестные хакеры поставили под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более 40 млн. работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием «План комплектования штата 2011.xls». Зараженная таблица при открытии устанавливала на ПК бекдор Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей пытались взломать серверы крупнейшего в мире предприятия ВПК, корпорации Lockheed Martin.
В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платёжных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway, согласно информации The Wire, осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платёжных карт (PCI DSS). Кроме того, специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удалённого администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.
Рис. 1. Состояние уязвимостей по наличию исправлений.
Всего за год было описано 4733 уязвимостей. Производители программного обеспечения смогли устранить к 1 января только 58% уязвимостей, а еще для 7% выпустили инструкцию по устранению. Таким образом, больше трети уязвимостей оставались открытыми для киберпреступников.
Рис. 2.Распределение уязвимостей по типам воздействия
Примерно четверть уязвимостей (24%) позволяли хакеру осуществить компрометацию системы, выполнив произвольный код на компьютере жертвы. Еще 21% обнаруженных «дыр» подходили для XSS-нападения, 15% могли быть использованы для отказа в обслуживании, 13% — для раскрытия важных данных, 12% — для неавторизованного изменения данных.
Рис. 3. Уязвимости по вектору эксплуатации
Если рассмотреть все уязвимости за 2011 год, то злоумышленник мог работать удаленно при эксплуатации 77% уязвимостей. Для 15% требовалась локальная сеть, а для 8% — личное присутствие или инсайдерская информация.
Мы бы хотели обратить внимание на уязвимости в следующих типах программного обеспечения.
1. Серверное ПО
Тип ПО/Опасность | Высокая | Средняя | Низкая |
---|---|---|---|
SCADA-системы | 1 | 24 | 12 |
DNS-серверы | 2 | 7 | 0 |
Web-серверы | 2 | 9 | 13 |
Серверы приложений | 3 | 5 | 22 |
Табл.1. Уязвимости в серверном ПО
В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен — именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.
2. Уязвимости в клиентском ПО
Тип ПО/Опасность | Критическая | Высокая | Средняя | Низкая |
Браузеры | 4 | 425 | 77 | 88 |
Офисные приложения | 3 | 127 | 7 | 16 |
Мультимедийные приложения | 0 | 247 | 13 | 10 |
ActiveX компоненты | 3 | 83 | 5 | 11 |
Табл. 2. Уязвимости в клиентском ПО
3. Уязвимости в браузерах
В 2011 году было обнаружено 594 уязвимости в самых популярных браузерах. Ниже представлена сводная таблица по уязвимостям в популярных браузерах.
Примечание: При учете уязвимостей в браузерах во внимание не брались ошибки отказа в обслуживании.
Браузер | Уязвимостей | Критических | Высоких | Средний | Низких |
Apple Safari | 169 | 0 | 140 | 13 | 16 |
Chrome | 278 | 1 | 197 | 42 | 38 |
Firefox | 89 | 0 | 65 | 12 | 12 |
Internet Explorer | 39 | 3 | 20 | 3 | 13 |
Opera | 19 | 0 | 3 | 7 | 9 |
Табл. 3. Уязвимости в браузерах
Таким образом, по количеству уязвимостей лидером в 2011 году стал Google Chrome. На втором месте — Apple Safari, на третьем — Firefox.
Рис. 4. Уязвимости в браузерах
Рис. 5. Распределение уязвимостей в браузерах по уровню опасности
Самым защищённым браузером с точки зрения количества уязвимостей в 2011 стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. В минувшем году у ведущих браузеров было также найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Большинство из них (три) пришлись на Internet Explorer и одну обнаружили в Chrome 11.x.
Общее представление данных по уязвимостям в различных версиях браузеров выглядит следующим образом:
Браузер/уровень опасности | Критический | Высокий | Средний | Низкий |
Apple Safari 5.x | 0 | 140 | 13 | 16 |
Chrome 8.x | 0 | 16 | 4 | 2 |
Chrome 9.x | 0 | 43 | 8 | 3 |
Chrome 10.x | 0 | 23 | 3 | 4 |
Chrome 11.x | 0 | 12 | 5 | 2 |
Chrome 12.x | 1 | 26 | 9 | 1 |
Chrome 13.x | 0 | 40 | 9 | 3 |
Chrome 14.x | 0 | 17 | 2 | 8 |
Chrome 15.x | 0 | 20 | 1 | 16 |
Internet Explorer 6 | 3 | 16 | 2 | 11 |
Internet Explorer 7 | 3 | 15 | 2 | 12 |
Internet Explorer 8 | 2 | 17 | 3 | 11 |
Internet Explorer 9 | 1 | 14 | 2 | 10 |
Mozilla Firefox 3.5.x | 0 | 18 | 3 | 3 |
Mozilla Firefox 3.6.x | 0 | 34 | 6 | 4 |
Mozilla Firefox 4.0.x | 0 | 11 | 0 | 3 |
Mozilla Firefox 5.0.x | 0 | 7 | 1 | 1 |
Mozilla Firefox 6.0.x | 0 | 7 | 1 | 1 |
Mozilla Firefox 7.0.x | 0 | 5 | 1 | 2 |
Mozilla Firefox 8.0.x | 0 | 4 | 1 | 2 |
Opera 10.x | 0 | 1 | 1 | 4 |
Opera 11.x | 0 | 3 | 7 | 8 |
Opera Mobile for Android 11.x | 0 | 0 | 0 | 1 |
Табл. 4. Уязвимости в разных версиях популярных браузеров
4. Уязвимости в популярных мультимедийных проигрывателях
ПО/Опасность | Критическая | Высокая | Средняя | Низкая |
Apple iTunes | 0 | 133 | 1 | 3 |
Apple Quicktime | 0 | 27 | 0 | 2 |
RealPlayer 14.x | 0 | 22 | 0 | 0 |
VLC Media Player | 0 | 14 | 1 | 0 |
Winamp | 0 | 17 | 0 | 0 |
Windows Media Player | 0 | 2 | 0 | 0 |
Табл. 5. Уязвимости в популярных мультимедийных проигрывателях
Прошлогодний хит-парад наиболее уязвимых медиа-проигрывателей (из числа популярных) возглавил Apple iTunes (133 уязвимости). В середине списка идет распространённый VLC Media Player (15 уязвимостей), а у Windows Media Player было опубликовано всего две уязвимости, что примерно в 70 раз меньше, чем у Apple iTunes.
Рис. 6. Уязвимости в популярных мультимедийных проигрывателях
Уязвимости «нулевого дня» — головная боль для разработчиков. Эти бреши в системе активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода патча.
Любопытно отметить рост числа таких уязвимостей в продуктах Adobe — в минувшем году их было найдено семь, и по этому параметру Adobe обогнала другого гиганта — компанию Microsoft, у которой было 5 уязвимостей «нулевого дня». В числе свежих примеров — обнаруженная в конце 2011 г. уязвимость CVE-2011-2462 в Adobe Reader, использовавшаяся для взлома подрядчика министерства обороны США ManTech.
Приложение | Уязвимости |
Flash Player | 3 |
Internet Explorer | 3 |
Microsoft Windows | 2 |
Adobe Reader | 3 |
Yahoo! Messenger | 1 |
ISC BIND | 1 |
Hancom Office | 1 |
Табл. 6. Распределение уязвимостей нулевого дня по приложениям
В следующей таблице представлена сравнительная статистика по уязвимостям нулевого дня для Microsoft и Adobe.
Производитель | 2006 | 2007 | 2008 | 2009 | 2010 | 2011 |
Microsoft | 6 | 3 | 5 | 6 | 6 | 5 |
Adobe | 0 | 0 | 1 | 4 | 7 | 7 |
Другие | 1 | 0 | 0 | 3 | 0 | 3 |
Табл. 7. Уязвимости нулевого дня
Рис. 7. График уязвимостей нулевого дня с 2005 года
Популярность Windows логичным образом сказывается на количестве уязвимостей. По сравнению с другими операционными системами, у продукта от Microsoft их было найдено больше всего. Причем, линейка ОС Windows держит лидерство как в общем зачете (92 уязвимости), так и в индивидуальном — только у этих ОС в отчетный период было обнаружено две критические уязвимости. С другой стороны, максимальное число уязвимостей высокой степени опасности (33) обнаружили в Mac OS, у Windows их нашли 22, а в разных версиях Linux — всего одну. При учете уязвимостей во внимание не принимались уязвимости в ПО сторонних производителей.
Рис. 8. График уязвимостей в операционных системах по степени опасности
Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые идут на втором месте по количеству уязвимостей (7%).
Рис. 9. Распределение уязвимостей в Web-приложениях
1. Типы воздействий
При описании уведомлений безопасности SecurityLab использует следующие типы воздействий:
2. Степень опасности уязвимостей
При публикации уведомлений SecurityLab оценивает рейтинг опасности уязвимостей согласно нижеописанным критериям. При этом во внимание принимается рейтинг CVSSv2.
Первое — находим постоянно, второе — ждем вас