Американские правительственные аналитики регулярно публикуют сводки о том, какие дыры в софте чаще всего используют хакерские группировки с государственной поддержкой. Данные стекаются от CERT-команд, расследований инцидентов и обратного инжиниринга атак. Картина получается отрезвляющей: спецслужбы Китая, Ирана, Северной Кореи и России годами долбятся в одни и те же бреши, просто потому что патчи ставят не все и не сразу.
Главная звезда среди мишеней - технология Microsoft Object Linking and Embedding, она же OLE. Это старый механизм, который позволяет вставлять содержимое одного документа в другой, например таблицу Excel внутрь вордовского файла. Удобно для офисной работы, катастрофически опасно для безопасности. Три уязвимости из топа самых эксплуатируемых связаны именно с OLE: CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158. Последняя особенно показательна. 2012 год, представляешь? А китайские группировки активно использовали ее аж до конца 2019 года, то есть почти восемь лет после раскрытия. Патч вышел, а дыра живет своей жизнью в корпоративных сетях, где админам вечно некогда обновляться.
Вторая по частоте атак технология - Apache Struts. Это такой фреймворк для веб-приложений на Java, стоит на огромном количестве корпоративных порталов и госуслуг. Нашумевший взлом Equifax, когда слили данные почти полутора сотен миллионов американцев, случился именно через дыру в Struts. Прошло столько лет, а патч до сих пор не везде накатили.
Дальше началась эпоха ковида, и ландшафт атак ожидаемо сместился. Массовый исход людей на удаленку превратил корпоративные VPN-шлюзы в главные ворота, и хакеры тут же переключились на них. Уязвимость CVE-2019-19781 в устройствах Citrix позволяла выполнить произвольный код без авторизации - мечта, а не эксплойт. Рядом с ней плотно засела CVE-2019-11510 в серверах Pulse Secure, которая давала возможность читать произвольные файлы, в том числе дампы с паролями и ключами. Обе дыры активно эксплуатировались весь 2020 год и продолжают светиться в отчетах до сих пор.
Отдельная история приключилась с Microsoft Office 365. Компании в пожарном порядке переезжали в облако, настраивали общие папки, шарили доступы и делали это быстро, без оглядки на безопасность. Результат предсказуем: кривые конфигурации, лишние права, незапароленные ресурсы. Злоумышленникам даже эксплойты писать было не нужно - просто заходи и бери что плохо лежит.
Поверх всего этого буйства техники сидит вечная проблема социальной инженерии. Сотрудники кликают по фишинговым ссылкам, открывают вредоносные вложения, ведутся на подставные письма от "руководства". Ни одна железка от такого не защитит, если в компании не выстроена культура безопасности. А про планы восстановления после атаки многие организации вообще не задумываются до того момента, пока шифровальщик уже не разложил все файлы по аккуратным папочкам с требованием выкупа.
В сухом остатке все просто: пока организации игнорируют обновления, экономят на админах и не учат сотрудников базовой гигиене, чужие спецслужбы будут заходить в их сети как в собственную песочницу. И список любимых уязвимостей за эти годы почти не изменился.
Главная звезда среди мишеней - технология Microsoft Object Linking and Embedding, она же OLE. Это старый механизм, который позволяет вставлять содержимое одного документа в другой, например таблицу Excel внутрь вордовского файла. Удобно для офисной работы, катастрофически опасно для безопасности. Три уязвимости из топа самых эксплуатируемых связаны именно с OLE: CVE-2017-11882, CVE-2017-0199 и CVE-2012-0158. Последняя особенно показательна. 2012 год, представляешь? А китайские группировки активно использовали ее аж до конца 2019 года, то есть почти восемь лет после раскрытия. Патч вышел, а дыра живет своей жизнью в корпоративных сетях, где админам вечно некогда обновляться.
Вторая по частоте атак технология - Apache Struts. Это такой фреймворк для веб-приложений на Java, стоит на огромном количестве корпоративных порталов и госуслуг. Нашумевший взлом Equifax, когда слили данные почти полутора сотен миллионов американцев, случился именно через дыру в Struts. Прошло столько лет, а патч до сих пор не везде накатили.
Дальше началась эпоха ковида, и ландшафт атак ожидаемо сместился. Массовый исход людей на удаленку превратил корпоративные VPN-шлюзы в главные ворота, и хакеры тут же переключились на них. Уязвимость CVE-2019-19781 в устройствах Citrix позволяла выполнить произвольный код без авторизации - мечта, а не эксплойт. Рядом с ней плотно засела CVE-2019-11510 в серверах Pulse Secure, которая давала возможность читать произвольные файлы, в том числе дампы с паролями и ключами. Обе дыры активно эксплуатировались весь 2020 год и продолжают светиться в отчетах до сих пор.
Отдельная история приключилась с Microsoft Office 365. Компании в пожарном порядке переезжали в облако, настраивали общие папки, шарили доступы и делали это быстро, без оглядки на безопасность. Результат предсказуем: кривые конфигурации, лишние права, незапароленные ресурсы. Злоумышленникам даже эксплойты писать было не нужно - просто заходи и бери что плохо лежит.
Поверх всего этого буйства техники сидит вечная проблема социальной инженерии. Сотрудники кликают по фишинговым ссылкам, открывают вредоносные вложения, ведутся на подставные письма от "руководства". Ни одна железка от такого не защитит, если в компании не выстроена культура безопасности. А про планы восстановления после атаки многие организации вообще не задумываются до того момента, пока шифровальщик уже не разложил все файлы по аккуратным папочкам с требованием выкупа.
В сухом остатке все просто: пока организации игнорируют обновления, экономят на админах и не учат сотрудников базовой гигиене, чужие спецслужбы будут заходить в их сети как в собственную песочницу. И список любимых уязвимостей за эти годы почти не изменился.
. Пока они там учат нас «безопасности», мы кайфуем в песочнице из дыр и багов, и каждый клик как маленькая победа над системой.