Уязвимости Shellshock и Netis стали серьезной угрозой

Shellshock – это серьезный дефект в командной оболочке Bash, который оставался незамеченным в течение 25 лет. Оболочка Bash – популярный интерфейс, используемый программными приложениями Linux. Поскольку ОС Linux используется на многих интеллектуальных устройствах, безопасность Всеобъемлющего Интернета также оказалась под угрозой.

Используя эту уязвимость, киберпреступники могут удаленно управлять серверами и выполнять на них любые команды, предусмотренные в оболочке Bash. По сути, любой злоумышленник, использующий этот дефект, может легко получить доступ к Web-серверу, похитить или изменить файлы на нем, повредить Web-сайт, украсть данные пользователей, изменить разрешения, установить бэкдоры и сделать многое другое. Из-за опасности и простоты использования эта уязвимость получила максимальную оценку по 10-балльной шкале в национальной базе данных уязвимостей США (National Vulnerability Database, NVD).

В течение недели с момента обнаружения уязвимость Shellshock была использована вредоносной программой, которая осуществляла распределенные атаки типа "отказ в обслуживании" (DDoS). Затем появились свидетельства того, что этот дефект был использован в ходе атак ботов на ряд организаций и в попытках взлома систем государственных органов Бразилии и финансовых учреждений в Китае. Кроме того, выяснилось, что эта уязвимость позволяет проводить атаки с использованием протокола DHCP, а также вскрылись другие факты.

Однако обнаружение уязвимости в оболочке Bash стало не единственным важным событием в прошедшем квартале. Выяснилось, что под угрозой находится устройство, которое является центром практически каждой сетевой среды. Недавно были получены доказательства того, что в маршрутизаторах компании Netis имеется серьезная уязвимость, которая подвергает их риску атак. Более миллиона разных IP-адресов, на которых используются такие устройства, оказались под угрозой в связи с возможностью применения этого бэкдора. Большинство затронутых этой проблемой маршрутизаторов Netis находятся в Китае, Корее, Пакистане и на Тайване.

Эта уязвимость представляет для злоумышленников интерес в связи с тем, что через подверженные ей устройства можно получить доступ к передаваемым данным.

К сожалению, как и в случае с большинством атак на маршрутизаторы, опасность уязвимости в устройствах Netis сложно оценить количественно, так как обнаруженный бэкдор существовал во всех линейках продукции этой компании. Кроме того, выпущенное производителем исправление для уязвимости Netis не удаляет опасный код, а лишь скрывает его, делая труднодоступным. Это не станет серьезным препятствием для технически подкованных киберпреступников, поэтому у пользователей Netis есть только один действенный способ решить возникшую проблему – приобрести другое устройство.

Защититься от этих и других угроз, направленных против различных протоколов и конечных устройств, помогают передовые решения в области виртуализации. Они способны блокировать вредоносные программы, предотвращать вторжения, устанавливать брандмауэры, контролировать целостность, проверять журналы, сканировать приложения и защищать данные.

"Уязвимость Shellshock продолжит оказывать влияние на тысячи Web-приложений как в ближайшем будущем, так и в долгосрочной перспективе. Это сложный дефект, открывающий несколько путей проникновения. Уже известно, что для атак можно использовать протоколы HTTP, FTP, DHCP, CUPS и др. Уязвимости Heartbleed и Shellshock открыли для злоумышленников новые перспективы. В то время как вредоносные программы в потребительском секторе по-прежнему направлены против устройств под управлением ОС Microsoft™ Windows^®, в сегменте серверов все больше внимания привлекают другие платформы. Количество уязвимостей в таком программном обеспечении, как Apache и JBoss, очень велико по сравнению с серверными операционными системами Windows". Паван Кингер (Pawan Kinger), директор Deep Security Labs.

Наборы инструментов для взлома и вредоносные подключаемые модули

В прошедшем квартале наблюдался рост спроса на наборы инструментов для взлома (см. рис. 2). После успеха набора Blackhole (BHEK) все больше киберпреступников стремятся заполучить на черном рынке последние обновления для своих инструментов.

В последнем квартале появились обновления для наборов FlashPack и Nuclear. В набор FlashPack были добавлены инструменты для взлома надстроек веб-сайтов, а в набор Nuclear – средства взлома технологии Silverlight. С помощью этих наборов инструментов можно использовать целый ряд уязвимостей в зависимости от установленного на устройстве программного обеспечения. Помимо простоты распространения популярности им добавляет тот факт, что с помощью этих инструментов киберпреступники могут за один прием охватить большое количество пользователей.

"Наборы инструментов для взлома стали заметно популярнее по сравнению с прошлым годом. Мы наблюдаем возрождение и серьезную переработку целого ряда семейств таких инструментов, которые ранее были заброшены своими создателями. По этой причине я считаю, что киберпреступники, стремящиеся быстро заработать, будут и впредь использовать эти наборы. До сих пор основным объектом атак были браузеры. Это означает, что наиболее успешными станут наборы инструментов, способные использовать уязвимости сразу во всех популярных модулях: Adobe Flash, Java и Microsoft Silverlight".

Джей Янеза (Jay Yaneza), старший технический директор.

Атаки, направленные на кражу денег, становятся все изощреннее

2013 г. был богат на утечки данных, а в 2014 г. акцент смещается в сторону краж с помощью вредоносных программ для кассовых терминалов (см. рис. 3).

В прошлом квартале стало известно о наиболее масштабной на сегодняшний день утечке информации: представители крупной розничной сети Home Depot подтвердили кражу данных примерно 100 млн платежных карт в результате взлома платежных систем.

Интересно, что, по результатам исследований, вредоносные программы, ставшие причиной обеих масштабных утечек в розничных сетях, очень похожи. Это разновидность программы, извлекающей данные из памяти кассовых терминалов (т.н. RAM scraper). Впервые ее следы были обнаружены еще в 2008 г., однако до последнего времени она не пользовалась большой популярностью у киберпреступников.

За четвертый квартал 2014 г. появились две новые разновидности программвымогателей, которые шифруют данные пользователя и требуют у него деньги за восстановление доступа к заблокированным файлам. Общее число случаев заражения этим типом вредоносных программ составило почти 3000.

"В последнее время сегмент вредоносных программ для кассовых терминалов (RAM scraper) динамично эволюционирует. Появляются новые способы использования похищенных реквизитов платежных карт, такие как спуфинг-атаки, объектом которых становится технология EMV (банковские карты EuroPay, MasterCard и Visa с чипами и PIN-кодом). Этот подход отличается от атак с использованием кассовых терминалов, так как позволяет обходить банковские системы защиты от мошенничества. Чтобы защитить данные банковских карт своих клиентов в памяти от вредоносных программ типа RAM scraper и атак, связанных с технологией EMV, владельцы розничных сетей и продавцы вынуждены устанавливать специализированное аппаратное и программное обеспечение. Создание экосистем кассовых терминалов, обеспечивающих защиту данных в памяти, продвигается медленно, и до повсеместного распространения таких устройств пройдет еще около двух лет. В этот период мы неизбежно столкнемся с новыми атаками злоумышленников". Нумаан Хук (Numaan Huq), старший специалист по угрозам.

Уязвимости в мобильных устройствах – серьезная проблема

В последние три месяца мы, к сожалению, стали свидетелями появления новой масштабной мобильной уязвимости, эффект от которой сопоставим с последствиями обнаружения ошибок Heartbleed и Shellshock. Новая уязвимость FakeID не менее опасна, чем уязвимость мастер-ключа, обнаруженная в 2013 г., и затрагивает большинство пользователей устройств на платформе Android (см. рис. 4).

Используя ее, злоумышленник может подделать подписи в сертификатах приложения и получить доступ к информации, к которой ему разрешено обращаться.

Кроме того, встроенные браузеры системы Android оказались уязвимы к атакам, которые обходят политику одинакового источника. Она позволяет сайтам использовать код только для обращения к собственному содержимому. Обходя эту политику, злоумышленники могут легко загружать в браузеры устройств Android вредоносные сайты, похищающие данные пользователей.

Компания Google уже выпустила исправления для устранения этих ошибок. Однако с учетом фрагментации мира платформы Android обновление всех таких устройств может затянуться, если вообще когда-либо произойдет. Это фундаментальная проблема данной платформы, которую еще только предстоит решить.

Помимо слабых мест платформы, популярные приложения для Android также стали объектом атак. Обнаружено несколько уязвимостей, поставивших под угрозу пользователей таких приложений, как Spotify, Evernote, Alipay и др. Исследования показали, что благодаря этим дефектам в пакетах SDK для реализации внутренних платежей злоумышленники могут проводить фишинг-атаки.

В дополнение к упомянутым выше неприятностям в мире мобильных устройств сами пользователи по-прежнему остаются не менее серьезным источником проблем. Имеется в виду ущерб в результате взлома систем iOS в прошедшем квартале. В частности, за этот период было отмечено появление вредоносной программы AdThief, которая похитила доходы от рекламных объявлений на 75 тыс. устройств с системой iOS.

Преступники используют уязвимости для множественных атак

В связи с появлением новостей о ранее неизвестных способах проведения направленных атак у администраторов сетей прибавилось забот (см. рис. 5).

В частности, наблюдаются атаки по обоим основным векторам: извне, с использованием уязвимостей, и изнутри, через сотрудников организаций.

Кроме того, анализ технологий скрытого проникновения в прошедшем квартале продемонстрировал появление новых внешних угроз. Это, в частности, обмен данными с портами, обход брандмауэров и использование сайтов социальных сетей.

"Стратегия организаторов атак основана на точном расчете, скрытых действиях и адаптации к изменениям. Традиционные средства безопасности, такие как брандмауэры, системы защиты от вторжений и политики, будут становиться все менее эффективными в противодействии атакам на сети. Производители систем безопасности должны разработать новые способы выявления необычных и подозрительных действий на фоне обычных событий и научиться использовать сравнительные аналитические данные об угрозах для успешного обнаружения и нейтрализации направленных атак". Жив Чанг (Ziv Chang), старший специалист по угрозам.