ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map

Уязвимости: найти и обезвредить

11.07.2019

Киберпреступники всегда выбирают самый простой способ достижения своей цели. Уязвимости в вашей ИТ-инфраструктуре им будут очень кстати. Хакеры могут проникнуть в эти слабые звенья и поставить под угрозу доступность, конфиденциальность и целостность систем и их данных.

Степень серьезности уязвимости оценивается по шкале от 0 до 10 в соответствии с Общей Системой Оценки Уязвимостей (CVSS).

Национальный консультативный совет по инфраструктуре (NIAC), рабочая группа Министерства внутренней безопасности США, ввел эту рейтинговую систему в 2005 году.

Часто даже самые последние программные и аппаратные средства содержат уязвимости. Например, в первые три месяца введения Microsoft Windows 10 Microsoft пришлось предоставить 28 уязвимостей высокой степени серьезности, то есть уровня 7 или выше по шкале CVSS.

Чтобы их закрыть, производители публикуют патчи. Компании несут ответственность за своевременную регистрацию этих обновлений безопасности. Однако, зачастую этих базовых мер недостаточно.

Как эксперты по безопасности обнаруживают слабые места?

Есть два основных способа, которыми специалисты обнаруживают уязвимости: черный ящик и белый ящик. В тесте «черного ящика» эксперты смотрят на ИТ-систему со стороны, так же, как ее видит обычный пользователь. Например, они ищут интересные имена файлов и собирают информацию. Как выглядит веб-сайт, программное обеспечение или продукт? Какие функции у него есть, а какие особенно интересны? Каждое поле, в которое пользователь может ввести что-либо, например, URL, данные для входа или текст, является потенциальной местом для атаки.

Популярный метод обнаружения слабых мест - фаззинг. В поля ввода эксперты вносят запутанные команды, которые разработчики не предвидели - например, 500 раз буква А в поле для 8-значного кода. Затем наблюдают, как ведет себя система. Возникают ли ошибки? Выдает ли «бессмысленные» ответы и незапланированные реакции?

Когда исследователи уязвимости получают «необычные» результаты, они следующим шагом дают системе осмысленные команды, например, «выполнить программу Х» или «дать мне информацию Y». Цель состоит в том, чтобы спровоцировать поведение, которое не планировал производитель.

Способ «белого ящика» - здесь эксперты имеют доступ к исходному коду и спецификациям продукта и могут постоянно консультироваться с производителем. Они распознают в исходном коде шаблоны, указывающие на потенциальные уязвимости. По коду можно определить, как будет вести себя программа, и что именно будет происходить.

Будь то «черный ящик» или «белый ящик», для выявления слабых мест экспертам необходим высокий уровень квалификации. Обычно им приходится иметь дело с системой в течение нескольких дней или недель, пока они что-то обнаружат - или нет. Киберпреступники редко делают подобное и часто не имеют необходимого опыта. Поэтому они предпочитают использовать уже известные уязвимости и гораздо быстрее и легче достигают цели.

Компаниям необходимо следить за тем, чтобы все актуальные патчи и обновления устанавливались своевременно, и внедрить грамотную систему управления уязвимостями.

Пример из практики: обнаружение уязвимости в маршрутизаторах D-Link

В ноябре 2018 года исследователи Greenbone обнаружили серьезную уязвимость в маршрутизаторах DWR и DAP D-Link. Она получила оценки CVSS 9,8 и 10 - самый высокий уровень угрозы. Хакеры могут использовать их для выполнения команд на маршрутизаторе без какой-либо аутентификации и даже получить полные права администратора. Эксперты по безопасности обнаружили исполняемый файл EXCU_Shell на протестированных устройствах. Это можно вызвать из веб-браузера с помощью так называемого Get запроса. На самом деле, файл отвечает за безвредные, но полезные операции, такие как отображение информации об установленной версии прошивки. Однако, настраивая некоторые параметры файла, вы можете вводить и выполнять произвольные команды. Поскольку устройства D-Link широко используются на рынке, уязвимость оказывает большое влияние. Кроме того, уязвимость относительно проста в использовании, поскольку файл EXCU_Shell не защищен паролем. После того, как хакер проник в маршрутизатор, он может атаковать всю связанную с ним сеть и контролировать весь входящий и исходящий интернет-трафик. Greenbone уведомила D-Link об этой уязвимости и подала заявку на получение CVE (Common Vulnerabilities and Exposures) от некоммерческой корпорации MITER от имени производителя. Он управляет списком всех обнаруженных уязвимостей. До сих пор (по состоянию на конец июня 2019 года) D-Link еще не выпустила все патчи. Тем не менее, с ноября 2018 года об уязвимости сообщается в ленте безопасности системы управления уязвимостями Greenbone. 

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram