Функціонування будь-яких комп’ютерних програм тісно пов’язане з кодом, проте недоліки в кодуванні можуть створювати вразливі місця у програмному забезпеченні. Деякі з таких недоліків призвели до масштабних проблем та мали серйозні наслідки, що сколихнули всю сферу кібербезпеки.
Які ж саме вразливості програмного забезпечення є найбільш значними та небезпечними?
1. Log4Shell
Вразливість під назвою Log4Shell виникла в Apache Log4j, популярній системі журналювання на Java, що використовується мільйонами користувачів у всьому світі.
У листопаді 2021 року Чень Чжаоцзюнь, фахівець із хмарної безпеки компанії Alibaba, виявив критичну помилку в коді. Спочатку Чжаоцзюнь зафіксував цю проблему на серверах Minecraft.
Цей недолік, офіційно відомий як CVE-2021-44228, отримав назву Log4Shell.
Помилка безпеки Log4Shell є вразливістю “нульового дня”, що означає, що зловмисники використали її до того, як фахівці з кібербезпеки її виявили. Це дозволило хакерам виконувати віддалений код, встановлювати шкідливе програмне забезпечення в Log4j, красти дані, шпигувати та поширювати віруси.
Хоча оновлення для усунення Log4Shell було випущено досить швидко після виявлення, ця проблема безпеки не залишилася в минулому.
Кіберзлочинці досі використовують Log4Shell у своїх атаках, попри те, що патч значно знизив рівень загрози. За даними Rezilion, вражаючі 26% загальнодоступних серверів Minecraft досі вразливі до Log4Shell.
Якщо компанія або окремий користувач не оновили своє програмне забезпечення, вразливість Log4Shell, найімовірніше, досі існує, створюючи відкриті двері для зловмисників.
2. EternalBlue
EternalBlue (офіційно MS17-010) – це вразливість програмного забезпечення, яка викликала великий резонанс у квітні 2017 року. Особливістю цієї вразливості є те, що її частково розробило NSA, розвідувальне агентство США, відоме своєю підтримкою Департаменту оборони у військових питаннях.
NSA виявило вразливість EternalBlue в Microsoft, але компанія Microsoft дізналася про цю помилку лише через п’ять років. NSA працювало над EternalBlue як над потенційною кіберзброєю. Щоб світ дізнався про це, знадобився злам.
У 2017 році хакерська група Shadow Brokers повідомила про існування EternalBlue після цифрового проникнення в NSA. Виявилося, що ця вразливість надала NSA таємний “бекдор”-доступ до багатьох пристроїв на базі Windows, включно з тими, що працювали на Windows 7, Windows 8 та Windows Vista. Іншими словами, NSA могло отримати доступ до мільйонів пристроїв без відома їхніх користувачів.
Хоча оновлення для EternalBlue існують, Microsoft та громадськість не були проінформовані про цей недолік, через що пристрої залишалися вразливими протягом багатьох років.
3. Heartbleed
Проблема безпеки Heartbleed була офіційно виявлена у 2014 році, хоча вона існувала в бібліотеці коду OpenSSL вже два роки. Деякі старі версії OpenSSL містили Heartbleed, який після виявлення визнали серйозним недоліком.
Офіційно відомий як CVE-2014-0160, Heartbleed викликав значне занепокоєння через своє розташування в OpenSSL. Оскільки OpenSSL використовувався як рівень шифрування SSL між базами даних веб-сайтів та користувачами, велика кількість конфіденційних даних могла бути отримана через Heartbleed.
Під час цього процесу зв’язку існувало інше з’єднання, яке не було зашифроване, свого роду базовий рівень, що забезпечував можливість обох комп’ютерів “спілкуватися”.
Хакери знайшли спосіб використовувати цю незашифровану лінію зв’язку для отримання конфіденційних даних із раніше захищеного комп’ютера. Зловмисник надсилав би системі запити, сподіваючись отримати корисну інформацію.
Heartbleed було виправлено в тому ж місяці, коли її було офіційно виявлено, але старіші версії OpenSSL все ще можуть бути вразливими до цієї помилки.
4. Double Kill
Double Kill (або CVE-2018-8174) була критичною вразливістю “нульового дня”, яка ставила під загрозу системи Windows. Цей недолік, виявлений у 2018 році, потрапив у заголовки новин про кібербезпеку через його наявність у всіх операційних системах Windows, починаючи з 7 версії.
Double Kill міститься в браузері Windows Internet Explorer і використовує дефект сценарію VB. Атака полягає у використанні шкідливої веб-сторінки Internet Explorer, яка містить код для експлуатації вразливості.
Double Kill потенційно може надати зловмисникам ті самі системні дозволи, що й авторизований користувач, якщо використовувати його правильно. У таких випадках хакери можуть навіть отримати повний контроль над пристроєм Windows.
У травні 2018 року Windows випустила патч для Double Kill.
5. CVE-2022-0609
CVE-2022-0609 – це ще одна серйозна вразливість програмного забезпечення, виявлена у 2022 році. Ця помилка в Chrome виявилася вразливістю “нульового дня”, якою скористалися зловмисники.
Ця вразливість може вплинути на всіх користувачів Chrome, тому її рівень серйозності настільки високий. CVE-2022-0609 – це помилка використання “після звільнення”, що означає, що вона здатна змінювати дані та віддалено виконувати код.
Google швидко випустила патч для CVE-2022-0609 в оновленні браузера Chrome.
6. BlueKeep
У травні 2019 року експерт з кібербезпеки Кевін Бомонт виявив критичну помилку програмного забезпечення, відому як BlueKeep. Цей недолік знаходиться в протоколі Microsoft Remote Desktop Protocol, який використовується для віддаленої діагностики системних проблем, а також для надання віддаленого доступу користувачам до їхніх робочих столів з іншого пристрою.
Офіційно відома як CVE-2019-0708, BlueKeep є вразливістю віддаленого виконання коду, тобто її можна використовувати для виконання коду на цільовому пристрої. Докази концепції, розроблені Microsoft, показали, що цільові комп’ютери можуть бути скомпрометовані та захоплені зловмисниками менш ніж за хвилину, підкреслюючи серйозність цього недоліку.
Отримавши доступ до пристрою, зловмисник може віддалено виконувати код на робочому столі користувача.
Перевагою BlueKeep є те, що вона впливає лише на старіші версії Windows, зокрема:
- Windows Vista.
- Windows XP.
- Windows Server 2003.
- Windows Server 2008.
- Windows Server 2008 R2.
- Windows 7.
Якщо ваш пристрій працює під керуванням будь-якої ОС Windows, новішої, ніж перелічені вище, вам, найімовірніше, не потрібно турбуватися про BlueKeep.
7. ZeroLogon
ZeroLogon, або CVE-2020-1472, як її офіційно називають, – це недолік безпеки програмного забезпечення на базі Microsoft, виявлений у серпні 2020 року. Загальна система оцінки вразливостей (CVSS) оцінила цей недолік у 10 балів з 10 за шкалою серйозності, що робить його дуже небезпечним.
Він може використовувати ресурс Active Directory, який зазвичай існує на корпоративних серверах Windows. Офіційно це відомо як віддалений протокол Netlogon Active Directory.
ZeroLogon наражає користувачів на небезпеку, оскільки він потенційно може змінювати конфіденційні дані облікових записів, зокрема паролі. Злом використовує метод автентифікації для отримання доступу до облікових записів без підтвердження особи.
У тому ж місяці, коли його було виявлено, Microsoft випустила два патчі для ZeroLogon.
Вразливості програмного забезпечення – надзвичайно поширене явище
Ми настільки залежимо від програмного забезпечення, що поява помилок та недоліків є цілком природним явищем. Але деякі з цих помилок кодування можуть створювати вразливі місця в системі безпеки, які можуть бути використані, ставлячи під ризик як постачальників, так і користувачів.