Содержание статьи
Данная статья содержит информацию об опубликованных в разделе «bugtrack»
ресурса Xakep.ru уязвимостях за второе полугодие ушедшего года. Также мы
попытаемся рассмотреть и выявить тенденции развития угроз за весь 2008 год.
Конечно, несколько слов хотелось бы сказать о буйствующем финансовом кризисе,
распахнувшем двери в ушедшем году. Наряду с финансовой и строительной отраслями
влияние кризиса, несомненно, охватывает и отрасль информационной безопасности.
Очевидно, что бюджеты на ИТ в организациях будут урезаться, что неизбежно
приведет к потере специалистов и снижению уровня безопасности предприятий. По
данным Минкомсвязи 44% российских ИТ-компаний сократили своих сотрудников.
Безработица является еще одним риском с точки зрения IT-безопасности для
предприятий и прекрасной средой для развития кибер-преступности. Действительно,
в отсутствии рабочих мест IT-специалисты ищут себя на разных поприщах. При
выборе работодателей уже не до капризов. Этот шанс пытаются использовать
руководители кибер-криминальных группировок, выступая в данном случае наемниками
высоко технологичных кадров. Как результат мы уже сейчас видим подъем числа
кибер-преступлений. МВД России сообщило, что в стране в 2008 году число
преступлений в области информационных технологий
возросло на 16,6%, превысив
14 тысяч. Также появляются и новые виды мошенничества, которые наряду с
результатами уязвимостей мы осветим ниже.
Обзор
Итак, общее количество найденных уязвимостей с июля по декабрь составило
1467. Традиционно бОльшая часть публикаций относится к программному обеспечению.
Из новостей, относящихся к аппаратным средствам, стоит выделить угрозы
использующие особенности реализаций роутеров (маршрутизаторов). Так довольно
большое количество эксплойтов было сформировано для устройств Cisco Systems, в
частности Cisco Adaptive Security Appliance и Cisco PIX.
Как и в прошлом периоде прослеживается тенденция к увеличению числа удаленных
уязвимостей по сравнению с локальными. Большая часть уязвимостей была
опубликована с эксплойтами.
| Общие данные по уязвимостям | Количество |
| Количество уязвимостей | 1467 |
| уязвимостей с эксплойтами | 832 |
| уязвимостей без эксплойтов | 586 |
| удаленных уязвимостей | 1376 |
| локальных уязвимостей | 42 |
Основные типы уязвимостей и их количественный эквивалент отражены в таблице.
| Основные типы уязвимостей | Количество |
| Web-ориентированные уязвимости | 606 |
| Выполнение произвольного кода | 260 |
| Отказ в обслуживании | 189 |
| Обход ограничений безопасности | 142 |
| Доступ к конфиденциальной информации | 119 |
| Эскалация привилегий | 64 |
| Досуп к файловой системе | 56 |
| Спуфинг | 31 |
Уязвимости в Web приложениях
Уязвимости, приводящие к атакам на Web-приложения все также сильно
распространены и составляют 41% от общего числа публикаций. Самыми
распространенными оказались SQL-инъекции - 332 уязвимости. Из них 304 относятся
к PHP-сценариям и только 27 – к сценариям на ASP). Интересно, что единственный
раз SQL-инъекция была обнаружена в CGI сценарии. Эта публикация относилась к
приложению MojoAuto.
| Атаки, нацеленные на Web приложения | Количество |
| Всего | 606 |
| PHP-инклюдинг | 99 |
| XSS (Межсайтовый скриптинг) | 143 |
| SQL-инъекции | 332 |
| Другие | 32 |
| SQL-инъекции в PHP и ASP сценариях | 332 |
| в PHP сценариях | 304 |
| в ASP сценариях | 27 |
| в CGI сценариях | 1 |
На втором месте находятся уязвимости, приводящие к XSS атакам – 143
уязвимости. PHP-инклюдинг проявился 99 раз. Другие уязвимости, например
выполнение произвольных команд в Web приложениях, составляют 5 % от общего
числа.
Больше всего публикаций с уязвимостями в Web-приложениях было выявлено в июле
и сентябре. Наименее информационным оказался август. Видимо все хакеры
отправились в это время на отдых...
В рейтинге Web приложений с наибольшим количеством уязвимостей также как и в
первом полугодии лидирует Joomla!. Правда, число ошибок несколько ниже. На
втором месте находится Drupal с 19 ошибками. Затем с большим отрывом следуют
MyBB, WordPress и Typo3. CMS Mambo в этот раз набрала всего 4 ошибки по
сравнению с 26 в прошлом полугодии, что безусловно является положительным
моментом для сторонников этого ПО.
| Рейтинг Web приложений с наибольшим количеством обнаруженных уязвимостей |
Количество |
| Joomla! | 31 |
| Drupal | 19 |
| MyBB | 9 |
| WordPress | 7 |
| Typo3 | 7 |
| Mambo | 5 |
| PHPMyAdmin | 4 |
| PHP-Nuke | 4 |
| RoomPHPlanning | 4 |
| PHPBB | 4 |
Отказ в обслуживании
Ошибок, приводящих к DoS атакам, во втором полугодии зарегистрировано 189.
Все также популярны DDoS атаки. Ранее мы писали о том, что такие атаки наиболее
выгодны конкурентам, однако, видимо в виду протекающего финансового кризиса
вирусописатели получают не так много заказов. В этой связи злоумышленники
выдумывают новые методы обмана и шантажа.
Так совсем недавно в Уфе была
задержана группа хакеров,
которые организовывали DDoS-атаки на сайты крупных российских компаний.
Сообщалось, что администратору организации через ICQ отправлялось сообщение с
текстом: "У меня на вас заказ, предлагаю свои услуги по защите вашего ресурса от
атак за ежемесячный стабильный оклад, при этом гарантирую бесперебойную работу
сайта". Что самое интересное, устраивал DoS атаки с помощью Бот-сетей всего один
человек, даже не имеющий высшего образования. Его подельник занимался лишь
обналичкой полученных средств.
Кстати, бот-сети находят все большее применение для самого широкого спектра
задач, начиная от DoS атак, заканчивая рассылкой спама и вирусов. Еще одним
видом жульничества является клик-мошенничество. В рамках этого злодеяния
злоумышленники используют множественные компьютеры бот-нетов для накрутки
фальшивых кликов по объявлениям контекстной рекламы.
Левые клики выгодны нескольким категориям пользователей: с одной стороны
нечестную борьбу ведут некоторые конкуренты, с другой – на переходах по ссылкам
зарабатывают создатели веб-площадок, прибегающие к различным видам накруток для
повышения собственной прибыли от показов рекламы.
В исследовательском агентстве Click Forensics заявляют, что
около 30% всех рекламных
событий, совершенных на крупнейших рекламных площадках в третьем квартале
2008 года, были сделаны искусственно при помощи бот-сетей. Исследователи
говорят, что количество мошеннического рекламного трафика очень тесно связано с
количеством работающих бот-сетей.
Выполнение произвольного кода
Уязвимости, приводящие к выполнению произвольного кода, встретились нам 260
раз. Эти уязвимости являются самыми распространенными и в основном вызваны
ошибками программистов при работе с памятью.
В ушедшем году был обнаружен необычный эксплойт, позволяющий выполнить
произвольный код с повышенными привилегиями. Необычным явился тот факт, что
эксплойт был нацелен на антивирусную
программу ESET Smart Security! Таким образом, нечего неподозревающие
пользователи защитного программного обеспечения становились потенциальными
жертвами злоумышленников.
Доступ к конфиденциальной информации
Безусловно бичем этого года стало появление множественных программ-шпионов,
нацеленных на кражу конфиденциальных данных. Количество уязвимостей, позволяющих
получить доступ к конфиденциальной информации, достигло 119 штук. Безусловно,
больше всего от таких нападений страдает банковский сектор. Так появился новый
вид фишинга «in-session» основывающийся на уязвимости одной из функций
JavaScript, часто используемой на сайтах банков и финансовых структур. При
открытии нескольких вкладок внутри бразуера уязвимость позволяет любому
сценарию, открытому на какой либо вкладке, получить информацию о содержимом
сайтов, открытых на других вкладках. Таким образом, если в одной вкладке
пользователь откроит сайт банка, а в другой – злонамеренный сайт, то скрипт
злонамеренного сайта, идентифицировав портал банка, может вывести всплывающее
окно, похожее по оформлению на дизайн сайта банка, с запросом на ввод
регистрационных данных пользователя. Если пользователь поймается на удочку,
злоумышленники получат доступ к его счету в банке.
Печально осознавать, что наряду с такими сложно выполнимыми атаками
встречаются нападения, производимые благодаря простым оплошностям разработчиков
и администраторов. Так в этом полугодии 28 ошибок, приводящих к получению
конфиденциальной информации, были вызваны неверной установкой прав доступа на
файлы баз данных, чаще всего mdb.
Обход ограничений безопасности
Уязвимости, связанные с обходом ограничений безопасности стали еще более
распространены и во втором полугодии 2008 года заняли 4 позицию в общем списке
(124 уязвимости). Из всего перечня уязвимостей, входящих в данную категорию
стоит выделить распространенную уязвимость в Apple iPhone, возникающую из-за
ошибок в обработке экстренных вызовов. Благодаря уязвимости злоумышленникам
удавалось обойти защиту паролем и позвонить на произвольный номер.
Как мы упоминали в прошлом полугодии в этот список теперь не входят «спуфинг»
атаки, поскольку их количество (31) позволяет выделить новую категорию
нападений. Большая часть спуфинг нападений по прежнему была направлена на
подмену кэша DNS серверов и подмену адресных строк в интернет браузерах.
Рейтинг самых уязвимых приложений
| Рейтинг приложений с наибольшим количеством обнаруженных уязвимостей | Количество |
| Mozilla Firefox | 73 |
| Microsoft Windows | 47 |
| Mozilla Thunderbird | 44 |
| Microsoft Office | 32 |
| Mozilla SeaMonkey | 32 |
| Joomla | 31 |
| Linux kernel | 19 |
| Drupal | 19 |
| Sun Solaris | 19 |
| Microsoft Internet Explorer | 15 |
Как видно из таблицы Топ 10 самых уязвимых приложений возглавляет браузер
Mozilla Firefox. Признаться, после выхода декабрьского дайджеста Microsoft, я
думал, что продукты мелкомягких по количеству обнаруженных ошибок переплюнут
любой софт. Но я ошибался, количество уязвимостей Firefox лишь за одно полугодие
составило 73. Это абсолютный рекорд. С одной стороны это связано все большей
распространенностью браузера. По оценкам экспертов Net Applications на январь
2009 года огненная лиса установлена на 21,5% систем. С другой стороны, видимо, в
погоне за функциональностью, скоростью и удобством использования, у
разработчиков Mozilla остается меньше времени на отладку кода. «Глобальное
сообщество профессиональных тестировщиков ПО» uTest заявляет, что в грядущем
браузере Microsoft IE 8 содержится меньше ошибок, чем в Mozilla Firefox 3. Пики
публикаций об уязвимостях в Mozilla Firefox пришлись на сентябрь, ноябрь и
декабрь.
Другие продукты Mozilla – ThunderBird и SeaMonkey, также имеют довольно
большое количество уязвимостей и находятся на 3 и 5 местах рейтинга
соответственно.
Всеми любимая операционная система Мicrosoft Windows находится на втором
месте и имеет 47 уязвимостей. Добавить к данному факту особенно нечего, кроме,
пожалуй еще одного :). Выпущенный в ноябре патч Microsoft закрыл уязвимость в
протоколе Server Message Block (SMB), обнаруженную более семи лет назад хакером
Джошем Бухбиндером. Вот это я понимаю - оперативность!
Довольно много уязвимостей набрали приложения семейства Microsoft Office
(32). Большую часть из них содержат Microsoft Excel и Word. Популярнейший
навигатор Internet Explorer набрал 15 брешей безопасности.
Операционные системы на базе ядра Linux демонстрируют 19 уязвимостей. Столько
же у Sun Solaris. Несколько уязвимостей в реализации сокетов протокола TCP/IP
оказались общими для многих юникс систем, включая FreeBSD. Последняя, однако,
вместе с OpenBSD и NetBSD по прежнему является наиболее защищенной. Немного
уязвимостей набрала и MAC OS X, не попав в основной рейтинг.
Подведение итогов
В завершении хотелось бы подвести некоторый итог по выявленным уязвимостям за
2008 год. В целом за год было найдено и опубликовано 2991 сообщений об
уязвимостях. 1667 публикаций содержали реальные эксплойты. Удаленные уязвимости
образуют абсолютное большинство - 2884. В таблице и на диаграмме приведен
рейтинг приложений с максимальным количеством уязвимостей, обнаруженных за год.
Первое место занимает Mozilla Firefox с 94 уязвимостями. Из интернет браузеров в
списке также присутствует Apple Safari и Microsoft Internet Explorer с 33 и 25
уязвимостями. CMS Joomla! по суммарным очкам занимает второе место.
Web-приложения в рейтинге представляет еще одна система управления контентом
Mambo. Самыми бажными операционными системами оказались Microsoft Windows (3
место), Sun Solaris (7 место) и системы на базе ядра Linux (9 место).
Ну и уже по традиции рассмотрим, какими неординарностями и ухищрениями
кибер-жуликов отметился ушедший год.
| Общие данные по уязвимостям за 2008 год | Количество |
| Количество уязвимостей | 2991 |
| уязвимостей с эксплойтами | 1667 |
| уязвимостей без эксплойтов | 1324 |
| удаленных уязвимостей | 2884 |
| локальных уязвимостей | 107 |
| Рейтинг приложений за 2008 год | Количество |
| Mozilla Firefox | 94 |
| Joomla! | 88 |
| Microsoft Windows | 70 |
| Mozilla ThunderBird | 61 |
| Mozilla SeaMonkey | 50 |
| Microsoft Office | 48 |
| Sun Solaris | 47 |
| Apple Safari | 33 |
| Linux Kernel / Mambo | 30 |
| Microsoft Internet Explorer | 25 |
По подсчетам компании McAfee, ущерб от деятельности киберпреступников в 2008
году составил около одного триллиона долларов. Казалось бы, разработчикам надо
серьезно задуматься над подобными показателями, но как мы наблюдали, выпущенный
в декабре Microsoft пакет обновлений, стал самым масштабным за последние пять
лет. С его помощью закрыты 29 уязвимостей, 23 из которых имеют статус
критических.
Мобильные телефоны стремительно становятся одной из наиболее привлекательных
целей для хакерских атак. Развивающиеся мобильные технологии и активный рост
популярности мобильных устройств делают их как никогда привлекательными для
хакеров. Антивирусные компании обнаружили целый ряд уязвимостей в смартфонах и
прочих мобильных устройствах, поддерживающих технологиюWi-Fi. Браузер Safari,
используемый в Apple iPhone, набрал 13 уязвимостей за второе полугодие и вошел в
топ лист приложений за год.
Всю большую популярность изыскивает хромированный браузер от Google. В этой
связи он также становится целью злоумышленников, и мы уже наблюдали первые
эксплойты для этого веб-обозревателя. Причем хакеры нацелены на повышение
эффективности при выполнении своих злодеяний. Например, ошибки в Adobe Reader
используются злоумышленниками для проникновения на компьютер жертвы через
различные интернет навигаторы. Поскольку большинство пользователей просматривают
документы именно в браузере, через установленный плагин Adobe Reader, то
злоумышленнику для захвата системы остается лишь обманным образом подсунуть
пользователю специально сформированный PDF документ.
Также западней для браузеров стали атаки, использующие для проникновения на
компьютеры жертв SWF-уязвимости. По данным Лаборатории Касперского на долю
SWF-эксплойтов пришлось 12% вредоносного контента за декабрь месяц.
Отдельно стоит выделить появление нестандартных зловредов семейства
Trojan-Downloader.WMA.GetCodec. При проигрывании зараженного мультимедийного
файла скачивается замаскированный под кодек исполняемый файл, являющийся червем.
При запуске он загружает из сети несколько исполняемых и мультимедийных файлов.
Самое интересное, что исполняемые файлы – это различные версии червя, а
мультимедийные файлы уже заражены трояном Trojan-Downloader.WMA.Getcodec. Червь
заменяет имена этих файлов на «(hot remix).mp3» и другие привлекающие внимание
названия. Далее он открывает к ним доступ в популярной пиринговой сети Gnutella,
где пользователи скачивают зараженные файлы и передают этих зловредов дальше по
цепочке. Таким образом, нужно весьма осторожно относиться к скачиваемым
мультемидийным файлам и не доверять любому предложению «загрузить кодек».
Все вышесказанное свидетельствует о необходимости обороняться и противостоять
темным силам. Причем гораздо эффективнее бороться с причинами уязвимостей, а не
противостоять последствиям нападений. Поэтому в помощь специалистам
IT-безопасности, особенно разработчикам, могу порекомендовать документ, вышедший
уже в январе 2009 года, под названием «Top
25 Most Dangerous Programming Errors». Документ составлен профессионалами
своего дела из более чем 30 компаний и описывает 25 наиболее опасных ошибок
программирования. Потенциальные ошибки удачно поделены на категории и содержат
такие комментарии, как распространенность ошибки, цена исправления и частота
атак, что позволяет оценить и приоритезировать процесс анализа и правки кода.
Среди описаний можно встретить как классические ошибки переполнения буфера, так
и, например, ошибки веб-программирования.
Толковый багтрак: обзор уязвимостей за первое полугодие 2007 года
Толковый багтрак: обзор уязвимостей за второе полугодие 2007 года
Толковый багтрак: обзор уязвимостей за первое полугодие 2008 года
