Функціонування всіх комп’ютерних програм залежить від коду, але недоліки кодування можуть поступитися місцем уразливостям програмного забезпечення. Деякі з них призвели до масової паніки та жахливих наслідків, які похитнули світ кібербезпеки.
Отже, які уразливості програмного забезпечення найбільші та найнебезпечніші?
1. Log4Shell
Уразливість програмного забезпечення Log4Shell існувала в Apache Log4j, популярній системі журналювання Java, якою користуються десятки мільйонів людей у всьому світі.
У листопаді 2021 року Чень Чжаоцзюнь, член команди хмарної безпеки Alibaba, виявив критичну помилку кодування. Zhaojun вперше помітив недолік на серверах Minecraft.
Порок, офіційно названий CVE-2021-44228, став відомий як Log4Shell.
Помилка безпеки Log4Shell є вразливістю нульового дня, тому нею скористалися зловмисники, перш ніж її помітили експерти з кібербезпеки, тобто вони могли запустити віддалене виконання коду. Завдяки цьому хакери могли встановити зловмисний код у Log4j, уможлививши крадіжку даних, шпигунство та поширення шкідливого програмного забезпечення.
Хоча виправлення для вразливості Log4Shell було випущено незабаром після її виявлення, ця вада безпеки аж ніяк не залишилася в минулому.
Кіберзлочинці досі використовують Log4Shell у своїх експлойтах, хоча патч значно знизив рівень загрози. Відповідно до Резіліоншокуючі 26 відсотків загальнодоступних серверів Minecraft все ще вразливі до Log4Shell.
Якщо компанія чи окрема особа не оновили своє програмне забезпечення, уразливість Log4Shell, швидше за все, все ще існує, створюючи відкриті двері для зловмисників.
2. EternalBlue
EternalBlue (офіційно відома як MS17-010) — це уразливість програмного забезпечення, яка викликала резонанс у квітні 2017 року. Дивним у цій уразливості є те, що її частково розробило NSA, величезне американське розвідувальне агентство, відоме своєю допомогою Департаменту США. Оборона з військовою справою.
АНБ виявило в Microsoft уразливість EternalBlue, але лише через п’ять років Microsoft дізналася про цю помилку. Над EternalBlue працювало АНБ як про можливу кіберзброю, і щоб світ був повідомлений про це, потрібен був хак.
У 2017 році хакерська група, відома як Shadow Brokers, повідомила про існування EternalBlue після цифрового проникнення в АНБ. Виявилося, що недолік надав АНБ таємний бекдор-доступ до ряду пристроїв на базі Windows, у тому числі тих, що працюють під керуванням Windows 7, Windows 8 і Windows Vista, яку часто критикують. Іншими словами, АНБ могло отримати доступ до мільйонів пристроїв без відома користувачів.
Хоча є виправлення для EternalBlue, Microsoft і громадськість не поінформовані про недолік, що робить пристрої вразливими протягом багатьох років.
3. Серцева кровотеча
Порушення безпеки Heartbleed було офіційно виявлено в 2014 році, хоча воно було присутнє в бібліотеці коду OpenSSL два роки тому. Деякі застарілі версії бібліотеки OpenSSL містили Heartbleed, який після виявлення вважався серйозним.
Офіційно відомий як CVE-2014-0160, Heartbleed викликав серйозне занепокоєння через його розташування в OpenSSL. Оскільки OpenSSL використовувався як рівень шифрування SSL між базами даних веб-сайтів і кінцевими користувачами, багато конфіденційних даних можна отримати через недолік Heartbleed.
Але під час цього процесу зв’язку існувало інше з’єднання, яке не було зашифрованим, свого роду фундаментальний рівень, який забезпечував активність обох комп’ютерів у розмові.
Хакери знайшли спосіб використовувати цю незашифровану лінію зв’язку, щоб вичавити конфіденційні дані з раніше захищеного комп’ютера. По суті, зловмисник засипав би систему запитами в надії отримати назад якусь корисну інформацію.
Heartbleed було виправлено в тому ж місяці, що й офіційне відкриття, але старіші версії OpenSSL все ще можуть бути вразливими до недоліку.
4. Подвійне вбивство
Подвійне знищення (або CVE-2018-8174) було критичною вразливістю нульового дня, яка поставила під загрозу системи Windows. Виявлений у 2018 році цей недолік потрапив у заголовки новин про кібербезпеку через його наявність у всіх операційних системах Windows, починаючи з 7 версії.
Double Kill міститься в браузері Windows Internet Explorer і використовує дефект сценарію VB. Метод атаки передбачає використання зловмисної веб-сторінки Internet Explorer, яка містить код, необхідний для зловживання вразливістю.
Подвійне вбивство потенційно може надати зловмисникам ті самі типи системних дозволів, що й вихідний, авторизований користувач, якщо використовувати його правильно. У таких ситуаціях зловмисники можуть навіть отримати повний контроль над пристроєм Windows.
У травні 2018 року Windows випустила патч для Double Kill.
5. CVE-2022-0609
CVE-2022-0609 — це ще одна серйозна вразливість програмного забезпечення, виявлена в 2022 році. Виявилося, що помилка в Chrome виявилася вразливістю нульового дня, якою скористалися зловмисники.
Ця вразливість може вплинути на всіх користувачів Chrome, тому рівень її серйозності такий високий. CVE-2022-0609 — це те, що відомо як помилка використання після звільнення, тобто вона має можливість змінювати дані та виконувати код віддалено.
Google не зайняло багато часу, щоб випустити патч для CVE-2022-0609 в оновленні браузера Chrome.
6. BlueKeep
У травні 2019 року Кевін Бомонт, експерт з кібербезпеки, виявив критичну помилку програмного забезпечення, відому як BlueKeep. Недолік можна знайти в протоколі Microsoft Remote Desktop Protocol, який використовується для віддаленої діагностики системних проблем, а також для надання користувачам віддаленого доступу до своїх робочих столів з іншого пристрою.
Офіційно відома як CVE-2019-0708, BlueKeep є уразливістю віддаленого виконання, тобто її можна використовувати для віддаленого виконання коду на цільовому пристрої. Докази концепції, розроблені Microsoft, показали, що цільові комп’ютери можуть бути скомпрометовані та захоплені зловмисниками менш ніж за хвилину, підкреслюючи серйозність недоліку.
Після доступу до пристрою зловмисник може віддалено виконати код на робочому столі користувача.
Однією перевагою BlueKeep є те, що він впливає лише на старіші версії Windows, зокрема:
- Windows Vista.
- Windows XP.
- Windows Server 2003.
- Windows Server 2008.
- Windows Server 2008 R2.
- Windows 7.
Якщо ваш пристрій працює під керуванням будь-якої ОС Windows, пізнішої, ніж перелічені вище, вам, швидше за все, не потрібно турбуватися про BlueKeep.
7. ZeroLogon
ZeroLogon, або CVE-2020-1472, як його офіційно називають, — це недолік безпеки програмного забезпечення на базі Microsoft, виявлений у серпні 2020 року. Загальна система оцінки вразливостей (CVSS) оцінила цей недолік 10 із 10 за шкалою серйозності, що робить його дуже високим небезпечний.
Це може використовувати ресурс Active Directory, який зазвичай існує на корпоративних серверах Windows. Офіційно це відомо як віддалений протокол Netlogon Active Directory.
ZeroLogon наражає користувачів на небезпеку, оскільки він потенційно може змінити конфіденційні дані облікового запису, зокрема паролі. Порушення використовує метод автентифікації, щоб отримати доступ до облікових записів без підтвердження особи.
У тому ж місяці, коли його було виявлено, Microsoft випустила два патчі для ZeroLogon.
Уразливості програмного забезпечення надзвичайно поширені
Ми настільки покладаємося на програмне забезпечення, що з’являтися помилки та недоліки цілком природно. Але деякі з цих помилок кодування можуть поступитися місцем уразливостям системи безпеки, які можуть бути використані, піддаючи ризику як постачальників, так і користувачів.