Обзор уязвимостей за второе полугодие 2007 года

Обзор уязвимостей за второе полугодие 2007 года

Несмотря на то, что общее количество обнаруженных уязвимостей не на много больше, чем за первое полугодие, однако,  удаленных уязвимостей обнаружено значительно больше, чем локальных. Это, конечно же, свидетельствует о все большей практической направленности найденных публикаций. Ведь удалённый эксплойт, работая через сеть, использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе. Эта тенденция обуславливается и еще одним интересным фактом. Дело в том, что в последнее время, обнаружив удаленную уязвимость в ПО какого либо производителя, через некоторое непродолжительное время часто находится та же самая только локальная уязвимость в других продуктах этого же производителя. Наверняка, многие помнят историю, когда хакер Роберт Хансен спустя два дня после обнаружения уязвимости в Google Toolbar для Firefox, обнаружил аналогичную ошибку в Google Desktop. По его словам из-за роста популярности приложений, сочетающих в себе удалённые и локальные функции, подобные уязвимости будут обнаруживаться довольно часто.

Уязвимости в Web приложениях

42% процента обнаруженных уязвимостей позволяют осуществить атаки на Web-приложения. Это и понятно, чего только стоит, например, популярность многочисленных социальных сетей, программных средств мгновенного обмена сообщениями и peer-to-peer клиентов. Все больше предприятий различного масштаба осуществляют интеграцию своего бизнеса с интернет. А по словам Стива Балмера следующие версии Windows будут гораздо более плотно интегрироваться с Web сервисами.

На самом деле, в такой ситуации, уже стоит делать отдельный рейтинг Web-приложений. Чем я, собственно и занялся, рассмотрев системы управления контентом (CMS) как наиболее популярный и развивающийся вид Web приложений. В итоге на первом месте с большим отрывом расположилась Joomla CMS c 21 ошибкой, затем следуют Wordpress и PHP-Nuke с 11 и 8 ошибками соответственно. На 4-м и 5-м местах находятся Mambo и Drupal.

Кстати, Joomla в этом полугодии заменила Xoops в основном рейтинге приложений с наибольшим количеством уязвимостей.

Рассмотрим соотношение основных атак, нацеленных на Web приложения: PHP-инклюдинг, SQL-инъекции и Межсайтовый скриптинг.  В этот раз атаки на основе PHP-инклюдинга уступили место SQL-инъекциям и даже XSS атакам. Рост XSS атак в 1.5 раза обусловлен тем, что хакеры больше заинтересованы получением доступа именно к системам пользователей, используя уязвимые Web ресурсы в качестве жертвы-посредника. На своем сайте sla.ckers.org хакеры регулярно организуют публикацию названий сайтов, имеющих XSS-уязвимость, включая сайты таких монстров как Dell, HP, MySpace и даже ресурсы компаний, предоставляющих услуги в области информационной безопасности, например, F5 и Acunetix.

Соотношение сценариев используемых хакерами для выполнения SQL-инъекций тоже изменилось. На это раз отрыв PHP от ASP сценариев не такой большой, но тем не менее разница довольно заметна.

Отказ в обслуживании

Уязвимости, ведущие к выполнению произвольного кода в этом полугодии существенно обошли ошибки, приводящие к DoS. Последних, впрочем, не так уж мало, на нашем ресурсе было зарегистрировано 262 публикации. А спам-аналитики "Лаборатории Касперского" неоднократно фиксировали спам-рассылку, c предложениями устранить конкурентов с помощью распределенных DDoS атак. Содержание рассылки приведено на рисунке. Да что и говорить, я получаю icq-рассылки с подобным видом предложений каждый месяц.

Выполнение произвольного кода

При выполнении произвольного кода переполнение буфера, а в частности переполнение стека, по-прежнему является наиболее популярным способом взлома компьютерных систем, так как большинство программистов используют технологию размещения данных в стеке процесса, смешивая данные программы с управляющими данными, включая адреса начала стека и возврата из исполняемой функции. Сообщений о выполнении произвольного кода в этом семестре оказалось больше, чем сообщений о DoS атаках (всего 376). Эта атака является и самой популярной в целом, даже среди атак, направленных на Web приложения.

Обход ограничений безопасности

Уязвимости, связанные с обходом ограничений безопасности становятся все более популярны и во втором полугодии 2007 года заняли 4 позицию в общем списке (104 уязвимости). Причем, в отличии от предыдущего полугодия в этот список не вошел "спуфинг", о котором мы отдельно поговорим чуть ниже. Чаще всего в категорию "обход ограничений безопасности" входят ошибки, позволяющие обойти механизмы аутентификации при входе в систему. Но встречаются также весьма оригинальные, приводящие, например, к обходу детектирования зловредов антивирусными продуктами, установке произвольных значений cookie и захвату пользовательских сессий.

 Уязвимости, ведущие к атаке спуфинга, были выделены в отдельную позицию. Число ошибок достигло 24-х, что является довольно ярким показателем, учитывая тот факт, что в прошлом обзоре мы лишь выявили некоторую тенденцию роста подобного типа атак. В основном злоумышленники практикуют атаки на Web-приложения, в основном подмена строк URL в интернет браузерах. Подобные действия хакеров ведут к эволюционированию атак фишинга и формированию более сложных атак фарминга и спуфинга. Также, как и в прошлом полугодии

Доступ к конфиденциальной информации

Существенно подросло количество уязвимостей, позволяющий получить доступ к конфиденциальной информации на целевой системе (77 против 54 в первом полугодии). Этот факт обуславливается еще большим появлением троянов, нацеленных на кражу данных. Это и банковские трояны, ориентированные на кражу кодов доступа к различным онлайновым платежным системам, интернет-банкингу и данных кредитных карт; и многие другие, например, игровые трояны, нацеленные на кражу учетных данных пользователей онлайн-игр. В США даже был создан центр помощи пострадавшим от кражи идентификационных данных. Такой центр, принимая данные от пострадавших пользователей и организаций, передает информацию в правоохранительные структуры, тем самым, упрощая поиск похитителей.

Рейтинг самых уязвимых приложений

Как и в первом полугодии 2007 операционная система Microsoft Windows является излюбленным лакомством для злоумышленников. Однако, в этот раз пальму первенства она уступила Apple Mac OS X. Как известно, с возвращением в Apple Стива Джобса дела у компании идут в гору не только с выпуском флагманского продукта iPod. Слава последнего серьезно подталкивает продажи iPhone и Mac Book, оснащенных Leopard и другими версиями Mac OS. Интересно, что только за один день декабря 2007 было опубликовано тридцать уязвимостей в MAC OS X.

Операционная система Sun Solaris передвинулась с пятого место на четвертое, обогнав Linux. Однако, напомню, в отчете мы указываем только ядро Linux, поскольку дистрибутивов, выпущенных на его основе огромное количество. Так, например, в одном только Gentoo было найдено около десяти уязвимостей.

FreeBSD, OpenBSD и NetBSD оказались наиболее защищенными и не попали в рейтинг, набрав в сумме меньше десяти уязвимостей. Конечно, нельзя забывать, что для начинающего администратора, даже линуксоида, FreeBSD и OpenBSD представляются несколько сложноватыми, но при уделении времени на их изучение, вы получите максимально надежную и производительную ось с отличной системой установки приложений.

Инструментарий для создания сайтов Xoops в этот раз не попал в список самых уязвимых приложений. Зато из категории Web приложений для создания/управления сайтами Joomla заняла седьмое место, в которой было найдено не намного меньше уязвимостей, чем в Xoops в прошлом полугодии.

Любопытно дело обстоит с Web браузерами. Mozilla Firefox на этот раз оказалась гораздо более бажной, чем Microsoft Internet Explorer – 32 уязвимости против 18. На самом деле аналитическая фирма Secunia подсчитала, что в прошлом 2007 году в операционной системе Red Hat Linux и браузерах Firefox было выявлено значительно больше багов, чем в аналогичных продуктах Microsoft. С другой стороны, Secunia отмечает, что проблемы безопасности, обнаруженные в Firefox, решались быстрее, чем для Internet Explorer. Браузер Opera несколько отстает от своих конкурентов, но, тем не менее, набрал в сумме 11 очков.

На последних 8, 9 и 10 местах нашего рейтинга расположились программные средства PHP, Microsoft Office и Sun Java. PHP несколько повысил свои позиции в плане защищенности. Видимо работа группы Hardened-PHP Project, которая была создана для защиты пользователей PHP и серверов от дыр в системе безопасности постепенно приносит свои плоды. Из приложений, не попавших в список, но также являющихся достаточно незащищенными, стоит отметить Apache HTTP Server, KDE, и Apple QuickTime. Данные приложения содержали 9, 8 и 7 уязвимостей, соответственно.

Замечания и тенденции

В завершении хотелось бы подвести некоторый итог по выявленным уязвимостям за 2007 год. В целом за год было найдено и опубликовано 3385 сообщений об уязвимостях. Из них 1889 публикаций содержали реальные эксплойты. Преимущественная составляющая общего числа уязвимостей, это, конечно же, удаленные уязвимости (3139). Microsoft Windows, несмотря на "сдачу" позиций во втором полугодии 2007, в общем зачете заняла первое место, накопив 76 уязвимостей. Вообще, как видно из таблицы, первые шесть мест распределили между собой операционные системы и Интернет браузеры, что вполне логично.

Чем же вообще запомнился 2007 год в криминальной кибер-индрустрии?

Конечно же, главным событием уже прошедшего года стал выход новой версии операционной системы Windows Vista. Представители Microsoft заявляли, что Vista станет самой защищенной системой за все время существования компании. На блогах необъятного интернета поговаривали, что даже антивирусы окажутся не нужны, поскольку новая система, помимо наличия новомодных технологий, таких как User Account Control (UAC), механизм защиты ядра Kernel Patch Protection (PatchGuard), Address Space Layer Randomization (ASLR), Network Access Protection и Windows Service Hardening, снабжена файерволом и антивирусом Windows Defender. К тому же Microsoft заверяла, что Windows Vista написана практически с нуля, а в техническом департаменте внедрена новая уникальная система тестирования продуктов.

Однако, уже через два месяца после выхода новоиспеченной системы компьютерный мир столкнулся с Zero-day уязвимостью, связанной с обработкой анимированных курсоров .ANI. До выхода патча от Microsoft злоумышленники успели разместить вредоносные .ANI файлы на огромном числе зараженных Web-сайтов. При доступе пользователей на такие сайты, запускался злонамеренный код и устанавливался троянец. Далее последовали сообщения и о других уязвимостях в Vista: уязвимость возникающая при обработке Internet Group Management Protocol (IGMP) и Multicast Listener Discovery (MLD) запросов; обход ограничений безопасности в Windows firewall при осуществлении проверки входящего Teredo трафика, генерируемого с помощью Teredo сервиса; атака спуфинга в результате неправильной реализации подписи SMBv2 и другие. В итоге уже в конце 2007 года Microsoft представила публичную версию релиз-кандидата SP1 для Windows Vista. В целом, сервис-пак насчитывает более 300 исправлений и усовершенствований.

Еще одним значимым событием стал выход на рынок соединенных штатов мобильного телефона Apple iPhone. В основе данного телефона лежит процессор ARM и операционная система Mac OS X, оптимизированная для работы с мобильными устройствами. Поскольку популярность этих устройств велика и растет, уже в июне эксперты компании SPI Dynamics обнаружили уязвимость в iPhone (в системе автоматического набора номера в браузере Safari), позволяющую перенаправить вызов владельца iPhone на другой телефонный номер. Таким образом, заманив обманным образом пользователя на злонамеренный сайт, злоумышленник может совершить произвольный звонок без разрешения пользователя-жертвы.

Также прошедший год ознаменовался множеством инцидентов, связанных с кражей конфиденциальных данных пользователей. Все больше выявляются случаи шантажа с угрозами разглашения украденных приватных данных или требования компенсации за восстановление зашифрованных пользовательских данных.

Очень любопытной мне кажется история, связанная с питерским хостинг-провайдером Russian Business Network (RBN). Данный провайдер, как сообщалось в прессе, стал оплотом детской порнографии, спама и убежищем для людей, занимающихся кражей информации. По данным VeriSign, только одна из фишинг-групп, работавших через RBN, похитила 150 миллионов долларов. На самом деле RBN предоставляет услуги так называемого "пуленепробиваемого хостинга" и их совершенно не беспокоит с какой целью клиент будет использовать программно-аппаратные ресурсы компании. Таким образом, эта история наглядно демонстрирует реально выявленные источники кибер-преступности. А несовершенность законодательных актов, в том числе в нашей стране, позволяет существовать подобным организациям почти легально.

Источник: Хакер.ру 
www.xakep.ru/