Исследователи опубликовали свежий вектор RCE для распространенного инструмента API Google

12 августа 2022 г. 15:35
 480

Обнаружен новый вектор использования уязвимой версии Google SLO Generator.

Отчет раскрывает опасность старых, непропатченных ошибок, которые затрагивают по меньшей мере 4,5 миллиона устройств.

Обнаружен новый вектор использования уязвимой версии Google SLO Generator, который облегчает удаленное выполнение кода (RCE). Это позволяет злоумышленнику получить доступ к системе и развернуть вредоносный код, как будто он исходит от доверенного источника внутри сети.

Google SLO Generator - это широко распространенная библиотека Python, используемая инженерами, которые хотят отслеживать производительность своих Web API. Этот инструмент используется тысячами сервисов Google, но до выпуска патча в сентябре 2021 года он содержал небезопасные функции, потенциально раскрывающие вводимые пользователем данные.

Майкл Ассраф, соучредитель и генеральный директор компании Vicarius, объясняет, что этот путь к эксплуатации был ранее неизвестен и несет новый метод эксплуатации устаревших версий библиотеки для атак с более серьезными последствиями, чем простое раскрытие информации.

Неизвестно, сколько из более чем 167 000 приложений, использующих эту библиотеку, работают с уязвимыми версиями, согласно Vicarius, которая опубликовала отчет с подробным описанием методики атаки. Пользователи, обновившие код, не будут подвержены уязвимости, но, несмотря на это, непропатченные уязвимости по-прежнему являются наиболее распространенной причиной успешных атак на компании.

Ассраф также поднимает вопрос о потенциально проблематичных обходных путях, поскольку исследователи безопасности обнаруживают новые векторы для эксплуатации уязвимых экземпляров программного обеспечения. Разработчики часто используют обходные пути для защиты от известных эксплойтов вместо того, чтобы развернуть систематическое обновление систем.

«Разработчики, которые попадают в эту категорию, будут уязвимы к новому эксплойту - наряду со всеми остальными, кто еще не установил патч» - заявляет он.

 

Миллионы непропатченных устройств остаются проблемой

Ожидается, что уязвимости, доступные извне, останутся излюбленным вектором атак для киберпреступников и в будущем. В опубликованном на этой неделе отчете компании Rezilion сообщается, что в программном обеспечении и подключенных к Интернету устройствах до сих пор не устранены уязвимости десятилетней давности.

Исследование выявило более 4,5 миллионов устройств, выходящих в Интернет, которые остаются подвержены уязвимостям, обнаруженным в период с 2010 по 2020 год. В отчете также выявлены активные попытки сканирования/эксплуатации большинства этих уязвимостей.

Йотам Перкал, директор по исследованию уязвимостей компании Rezilion, заявляет, что существует несколько причин, по которым непропатченные уязвимости так распространены.

«Во-первых, многие организации с менее развитыми программами безопасности даже не имеют представления об имеющихся в их среде уязвимостях. Без надлежащего инструментария и процессов управления уязвимостями они практически слепы к риску и не могут исправлять то, о чем не знают».

Во-вторых, даже для организаций с развитыми процессами управления уязвимостями установка патчей представляет собой сложную задачу - она требует времени и значительных усилий и часто может привести к непредвиденным проблемам совместимости патчей.

«Учитывая постоянный рост числа новых уязвимостей, обнаруживаемых каждый год, организации просто не успевают за ними» - объясняет Перкал.

 

Неисправленные уязвимости - главная проблема безопасности

Ассраф называет непропатченные уязвимости одной из самых значительных, распространенных, но устранимых проблем безопасности во всех сферах - и на то есть множество причин.

«Эта проблема не зависит от отрасли и размера компании, хотя крупные предприятия, как правило, более уязвимы из-за большого количества систем и пользователей» - добавляет он.

Он также отмечает, что ежедневно появляются новые уязвимости, поэтому достижение «нулевой уязвимости» - несбыточная мечта.

Кроме того, крупномасштабные обновления иногда ломают что-то и создают непредвиденные последствия и проблемы совместимости, в результате чего многие занимают позицию «Не сломалось - не чини».

«Проблема в том, что все уже сломано, просто вы не видите бреши в броне, пока вас не хакнут» - предупреждает Ассраф. «Другие распространенные проблемы связаны с прозрачностью, теневым ИТ и распределенными командами, которые приводят к осложнениям с владением».

С его точки зрения, прозрачность - это первый шаг к тому, чтобы взять под контроль уязвимости и исправления, поскольку нельзя исправить то, о поломке чего вы не знаете.

«Наличие точной и постоянно обновляемой инвентаризации всех активов и устройств в вашей среде является важнейшим первым шагом» - объясняет он.

Далее необходимо знать, как определить приоритетность обновлений, доступных для этих систем и активов, что является общим местом, где предприятия не справляются с задачей, и весь объем начинает превращаться просто в шум.

Перкал считает, что ключевым моментом для создания более проактивной позиции в отношении рисков, связанных с непропатченными уязвимостями, является осведомленность.

«Как только вы осознаете риск, убедитесь, что у вас есть необходимые процессы и инструменты, которые позволят вам эффективно принять меры. В конце концов, применение существующего патча к известной уязвимости, которая, как известно, эксплуатируется в дикой природе, должно быть простым аспектом надлежащей гигиены безопасности»

В июльском отчете команды Unit 42 компании Palo Alto Networks также говорится о том, что злоумышленники играют в любимчиков при выборе уязвимостей программного обеспечения.

 

Решение проблемы исправлений с помощью бизнес-контекста

Ассраф заявляет, что обычно приоритеты расставляются на основе критической важности основных систем, таких как CVSS, которые присваивают рейтинги серьезности известным уязвимостям - некоторые поставщики систем безопасности также присваивают свои собственные системы оценки «черного ящика».

«Что важно учитывать, и где этот шаг - и поставщики - часто ошибаются, так это неспособность принять во внимание бизнес-контекст».

Поэтому важно сосредоточиться на потенциальных угрозах, которые окажут наибольшее влияние на вашу уникальную цифровую среду, а не на рейтинге, присвоенном третьей стороной без учета контекста".

«Наиболее зрелые организации автоматизируют процесс установки исправлений на основе контекста, обновляя наиболее важные системы и минимизируя время простоя и воздействие за счет стратегического планирования развертывания» - сообщает Ассраф.

Перкал отмечает, что большая часть кода, используемого в организации, поступает от различных сторонних разработчиков, как с открытым исходным кодом, так и коммерческих.

«Хотя это позволяет организациям сосредоточиться на основной бизнес-логике и выпускать код быстрее, это также создает риск безопасности в виде уязвимостей программного обеспечения. Залатать все подряд просто невозможно".

По его словам, чтобы эффективно справиться с этим риском, необходимо использовать платформы управления поверхностью атаки, которые могут грамотно определять приоритеты уязвимостей, имеющих наибольшее значение, а также автоматизировать некоторые аспекты их устранения и исправления.

«Самый тревожный аспект, который я вынес из исследования, заключается в том, что эти старые, известные, эксплуатируемые уязвимости все еще так широко распространены» - добавляет он. «Это особенно тревожно, поскольку, вероятно, тот же анализ, который мы провели, также проводится злоумышленниками, и, оставляя эту огромную поверхность атаки уязвимой, мы облегчаем им жизнь».

 

Источник: https://www.darkreading.com

Системы Информационной Безопасности