Статистика уязвимостей за 2011 год от Лаборатории Касперского


KasperskyLabsСпециалистами по информационной безопасности SecurityLab опубликован отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались:

  • SCADA-системы;
  • CMS;
  • программы компании Adobe;
  • почти все браузеры;
  • семейство операционных систем Windows.


Данные приложения и системы в минувшем году часто становились доступными для проникновений. Этот обзор показывает несколько глобальных происшествий, ставшими результатами безобидных (на первый взгляд) уязвимостей.

В 2011 году мишенями хакеров становятся промышленные предприятия и военные секреты. Например, осенью стало известно о троянском вирусе Duqu.
Троянский вирус Duqu - проникает в компьютер под управлением Windows, используя критическую уязвимость CVE-2011-3402. Затем вирус способен внедриться в смежную SCADA-систему предприятия с целью похищения информации об ИТ-инфраструктуре и установления контроля над промышленными объектами.


Поддельные SSL-сертификаты — месть за Иран
Весной и летом 2011 г. иранские хакеры последовательно взломали серверы удостоверяющих центров Comodo и DigiNotar. Во втором случае часть из украденных сертификатов безопасности принадлежали ЦРУ, Моссаду и MI-6. Помимо международной киберразведки, похищенные "цифровые паспорта" использовались для атак man-in-the-middle (MitM). Хакер пропускал интернет-траффик "клиента" через собственный прокси-сервер, где браузер жертвы встречался с фальшивым сертификатом и выдавал информацию в расшифрованном виде. Под ударом оказались пользователи интернет-банкинга, почтовых онлайн-служб и других сервисов, использующих SSL-сертификаты.


Цифровые подписи и военные секреты США
Взлом серверов компании RSA Security в середине марта 2011 года поставил под угрозу надежность цифровых подписей RSA SecurID. Этими ключами пользовались более  40 млн. работников для получения доступа к закрытым сетям. Атака началась с электронного письма, призывающего работников головной компании RSA открыть фальшивый файл Excel с интригующим названием "План комплектования штата 2011.xls". Зараженная таблица при открытии устанавливала на ПК бекдор Poison Ivy, эксплуатируя уязвимость CVE-2011-0609 в Adobe Flash Player. Среди похищенной информации были сведения о новейших решениях для двухфакторной проверки подлинности. Позже с помощью украденных ключей пытались взломать серверы крупнейшего в мире предприятия ВПК, корпорации Lockheed Martin.


Что бывает из-за несоответствия стандарту PCI DSS
В мае 2011 года были пойманы румынские хакеры, взломавшие системы обработки транзакций торговых терминалов и три года перехватывавшие данные платёжных карт клиентов. Основной удар пришелся по компании Subway. Проникновение в ЛВС Subway осуществлялось через беспроводные сети в ресторанах, а сами терминалы не соответствовали стандартам безопасности индустрии платёжных карт (PCI DSS). Специалисты, осуществляющие удаленную техподдержку терминалов, не только не устанавливали обновления для приложения удалённого администрирования PCAnywhere, но и выбрали простейшую комбинацию логина и пароля (administrator, computer) в более чем 200 системах.


Состояние уязвимостей по наличию исправлений

Sostoyanie uyazvimostei po nalichiu ispravlenii
Состояние уязвимостей по наличию исправлений

Всего за год было описано 4733 уязвимости. Производители программного обеспечения к 1 января:

  • смогли устранить - 58% уязвимостей;
  • выпустили инструкцию по устранению - 7%;
  • оставались открытыми для киберпреступников - 35%.


Распределение уязвимостей по типам воздействия

Raspredelenie uyazvimostei po tipam vozdeistviya
Распределение уязвимостей по типам воздействия

  • Уязвимости, позволяющие хакеру осуществить компрометацию системы, выполнив произвольный код на компьютере жертвы - 24%;
  • обнаруженные "дыры" для XSS-нападения - 21%;
  • для отказа в обслуживании - 15%;
  • для раскрытия важных данных - 13%;
  • для неавторизованного изменения данных - 12%.


По вектору эксплуатации

Uyazvimosti po vektoru ekspluatacii
Уязвимости по вектору эксплуатации

Если рассмотреть все уязвимости за 2011 год, то:

  • злоумышленник мог работать удаленно при эксплуатации - 77% уязвимостей;
  • требовалась локальная сеть для - 15%;
  • личное присутствие или инсайдерская информация для - 8%.


Уязвимости по типам программного обеспечения

1. Серверное ПО

Tabl 1 Uyazvimosti v servernom PO
Уязвимости в серверном ПО

В серверном программном обеспечении широкое распространение получили уязвимости в SCADA-системах: в 17 уведомлениях безопасности было описано 37 уязвимостей. Интерес исследователей к программной части АСУ ТП неслучаен — именно в последние два года получили распространение вирусы, нацеленные на приложения для промышленной автоматизации.


2. Уязвимости в клиентском ПО



Уязвимости в клиентском ПО


3. Уязвимости в браузерах

В 2011 году было обнаружено 594 уязвимости в самых популярных браузерах. Ниже представлена сводная таблица по уязвимостям в популярных браузерах.

Примечание: При учете уязвимостей в браузерах во внимание не брались ошибки отказа в обслуживании.


Уязвимости в браузерах

Таким образом, по количеству уязвимостей лидером в 2011 году стал Google Chrome. На втором месте — Apple Safari, на третьем — Firefox.

Ris Uyazvimosti v brauzerah
Уязвимости в браузерах


Raspredelenie uyazvimostei v brauzerah po urovnu opasnosti
Распределение уязвимостей в браузерах по уровню опасности

Самым защищённым браузером с точки зрения количества уязвимостей в 2011 стал Opera. Во всех распространенных приложениях этого типа, кроме Opera, было обнаружено очень большое количество уязвимостей высокой степени опасности, которые могут использоваться для компрометации системы. В минувшем году у ведущих браузеров было также найдено 4 уязвимости критической степени опасности, которые использовались злоумышленниками для проведения успешных атак на различные компании. Три из них пришлись на Internet Explorer и одну обнаружили в Chrome 11.x.

Общее представление данных по уязвимостям в различных версиях браузеров выглядит следующим образом:

Tabl 4 Uyazvimosti v raznih versiyah brauzerov
Уязвимости в разных версиях популярных браузеров


4. Уязвимости в популярных мультимедийных проигрывателях

Уязвимости в популярных мультимедийных проигрывателях

Прошлогодний хит-парад наиболее уязвимых медиа-проигрывателей (из числа популярных):

  • Apple iTunes - 133 уязвимости;
  • VLC Media Player - 15 уязвимостей;
  • Windows Media Player - 2 уязвимости.


Ris Uyazvimosti v populyarnih multimediinih proigrivatelyah
Уязвимости в популярных мультимедийных проигрывателях


Уязвимости "нулевого дня"
Уязвимости "нулевого дня" — активно эксплуатируются хакерами еще до публикации сообщения об уязвимости и выхода патча.

Любопытно отметить рост числа таких уязвимостей в минувшем году в продуктах:

  • Adobe — 7;
  • Microsoft - 5 уязвимостей "нулевого дня".


В числе свежих примеров — обнаруженная в конце 2011 г. уязвимость CVE-2011-2462 в Adobe Reader, использовавшаяся для взлома подрядчика министерства обороны США ManTech.

Tabl 6 Raspredelenie uyazvimostei 0-day po prilojeniyam
Распределение уязвимостей нулевого дня по приложениям

В следующей таблице представлена сравнительная статистика по уязвимостям нулевого дня для Microsoft и Adobe

Tabl 7 Uyazvimosti 0-day
Уязвимости нулевого дня


Grafik uyazvimostei 0-day c 2005 goda
График уязвимостей нулевого дня с 2005 года


Уязвимости в операционных системах
У продукта от Microsoft уязвимостей, по сравнению с другими операционными системами, было найдено больше всего.
При учете уязвимостей во внимание не принимались уязвимости в ПО сторонних производителей.

Grafik uyazvimostei v OS po stepeni opasnosti
График уязвимостей в операционных системах по степени опасности


Уязвимости в Web-приложениях
Наилучшие условия для несанкционированных проникновений в сегменте веб-приложений предоставляют системы управления содержимым (18%). Хакеры постоянно ищут уязвимости в CMS, и, как мы видим, находят их в большом количестве (204 уязвимости за год). Администраторам сайтов, построенных на популярных платформах, необходимо не только контролировать подозрительную активность, но и оперативно устанавливать обновления для CMS. Следует не забывать также о веб-форумах, которые идут на втором месте по количеству уязвимостей (7%).

Raspredelenie uyazvimostei v Web-prilojeniyah
Распределение уязвимостей в Web-приложениях


Справочник

Типы воздействий
При описании уведомлений безопасности SecurityLab использует следующие типы воздействий:

  • Брут-форс атака (атака грубой силы). Это воздействие используется, когда приложение или алгоритм позволяет атакующему осуществить подбор логина/пароля, или других данных, используемых для ограничения доступа к ресурсам приложения.

  • Межсайтовый скриптинг. Подобные уязвимости позволяют злоумышленнику изменить поведение или содержимое страниц веб-приложения в браузере целевого пользователя. К этому типу относятся все уязвимости, связанные с выполнением сценариев в браузере (хранимый и отраженный XSS, CSRF, расщепление HTTP запросов и пр.).

  • Отказ в обслуживании. К этому типу воздействия относятся уязвимости, которые позволяют злоумышленнику нарушить корректную работу и повлиять на доступность приложения или ОС.

  • Раскрытие важных данных. Этот тип воздействия используется для определения уязвимостей, которые позволяют атакующему получить доступ к документам, файлам, учетным данным пользователей или другой потенциально важной информации.

  • Раскрытие системных данных. К этому типу относятся уязвимости, которые позволяют злоумышленнику получить системные данные (версию ОС, запущенные службы, месторасположение файлов на системе).

  • Внедрение в сессию пользователя. К этому типу относятся уязвимости, которые позволяют злоумышленнику внедриться в сессию пользователя в приложении и выполнить некоторые действия от его имени.

  • Неавторизованное изменение данных. К этому типу относятся уязвимости, которые позволяют атакующему произвести изменение данных, не имея требуемых привилегий доступа, например, используя SQL-инъекцию в приложении.

  • Повышение привилегий. К этому типу воздействия относятся уязвимости, которые позволяют локальному пользователю получить привилегии другой учетной записи в системе.

  • Обход ограничений безопасности. К этому типу воздействия относятся уязвимости, которые позволяют злоумышленнику обойти определенные механизмы безопасности приложения.

  • Спуфинг атака. Этот тип обозначает уязвимости, которые позволяют злоумышленнику выдать себя за другого пользователя или систему.

  • Компрометация системы. К этому типу воздействия относятся уязвимости, которые позволяют удаленному пользователю выполнить произвольный код на целевой системе с привилегиями пользователя или уязвимой службы.


Степень опасности уязвимостей
При публикации уведомлений SecurityLab оценивает рейтинг опасности уязвимостей согласно нижеописанным критериям. При этом во внимание принимается рейтинг CVSSv2.

  • Критическая степень опасности. К этому типу опасности относятся уязвимости, которые позволяют удаленную компрометацию системы без дополнительного воздействия целевого пользователя и активно эксплуатируются на момент публикации первого сообщения об уязвимости, т.е. являются уязвимостями "нулевого дня". Таким образом, критическими считаются уязвимости с CVSSv2 рейтингом >=8.7, которые стали известны вследствие происшедшего инцидента безопасности.

  • Высокая степень опасности. К этому типу опасности относятся уязвимости, которые позволяют удаленную компрометацию системы. Уязвимости с CVSSv2 рейтингом >=7.4 считаются уязвимостями высокой степени опасности.

  • Средняя степень опасности. К этому типу относятся уязвимости, которые позволяют удаленный отказ в обслуживании, неавторизованный доступ к данным или выполнение произвольного кода при взаимодействии пользователя (например, подключение к злонамеренному серверу уязвимым приложением). CVSSv2 рейтинг >= 4.7.

  • Низкая степень опасности. К этому типу относятся все уязвимости, эксплуатируемые локально, также уязвимости, эксплуатация которых затруднена или которые имеют минимальное воздействие (например, XSS, отказ в обслуживании клиентского приложения). CVSSv2 рейтинг < 4.7.