Funkcjonowanie każdego programu komputerowego opiera się na kodzie, jednak nieprawidłowości w tym kodzie mogą otworzyć drogę dla luk w zabezpieczeniach oprogramowania. Niektóre z tych słabości wywołały ogólnoświatową panikę i doprowadziły do tragicznych skutków, wstrząsając posadami cyberbezpieczeństwa.
Jakie więc luki w oprogramowaniu można uznać za największe i najbardziej niebezpieczne?
1. Log4Shell
Luka Log4Shell istniała w popularnej platformie logowania Java, Apache Log4j, z której korzystają dziesiątki milionów użytkowników na całym globie.
W listopadzie 2021 roku, Chen Zhaojun, członek zespołu Alibaba Cloud Security Team, natrafił na krytyczną wadę w kodzie. Zhaojun jako pierwszy zidentyfikował tę lukę, obserwując działanie serwerów Minecrafta.
Oficjalnie nazwana CVE-2021-44228, ta słabość przeszła do historii pod nazwą Log4Shell.
Luka Log4Shell jest tak zwaną luką zero-day, co oznacza, że była wykorzystywana przez cyberprzestępców, zanim została wykryta przez specjalistów od cyberbezpieczeństwa. Pozwalała na zdalne wykonanie kodu, dzięki czemu hakerzy mogli instalować złośliwe oprogramowanie w Log4j. To z kolei otwierało drogę do kradzieży danych, szpiegowania i rozprzestrzeniania szkodliwego oprogramowania.
Mimo że niedługo po jej wykryciu, luka Log4Shell została załatana, to wciąż nie jest to problem zamknięty.
Cyberprzestępcy nadal wykorzystują Log4Shell w swoich działaniach, mimo że łatka znacznie zmniejszyła skalę zagrożenia. Jak podaje Rezilion, zadziwiające 26% publicznych serwerów Minecraft wciąż jest narażonych na Log4Shell.
Jeśli firma lub użytkownik indywidualny nie zaktualizował swojego oprogramowania, istnieje duże prawdopodobieństwo, że luka Log4Shell nadal stanowi zagrożenie, otwierając furtkę dla atakujących.
2. Wieczny niebieski
EternalBlue, oficjalnie znana jako MS17-010, to luka w oprogramowaniu, która wzbudziła ogromne obawy w kwietniu 2017 roku. Co zaskakujące, ta słabość została częściowo stworzona przez NSA, potężną amerykańską agencję wywiadowczą, która wspiera Departament Obrony w kwestiach militarnych.
NSA odkryła lukę EternalBlue w systemie Microsoft, ale dopiero po pięciu latach firma dowiedziała się o tej usterce. NSA rozwijała EternalBlue jako potencjalną cyberbroń, a ujawnienie jej światu wymagało działań hakerskich.
W 2017 roku grupa hakerska znana jako Shadow Brokers ujawniła istnienie EternalBlue po dokonaniu cyfrowej infiltracji NSA. Okazało się, że luka ta zapewniła NSA tajne tylne drzwi do wielu urządzeń działających pod kontrolą systemu Windows, w tym tych z systemem Windows 7, Windows 8 oraz często krytykowanym Windows Vista. Mówiąc inaczej, NSA mogła uzyskać dostęp do milionów urządzeń bez wiedzy ich użytkowników.
Mimo że dostępna jest już łatka dla EternalBlue, opieszałość Microsoftu oraz brak świadomości społeczeństwa na temat tej usterki sprawiły, że urządzenia były narażone na ataki przez długie lata.
3. Krwawienie z serca
Luka Heartbleed została oficjalnie zidentyfikowana w 2014 roku, chociaż obecna była w bibliotece kodu OpenSSL już dwa lata wcześniej. Niektóre przestarzałe wersje OpenSSL zawierały Heartbleed, co po jej wykryciu uznano za poważny problem.
Znana oficjalnie jako CVE-2014-0160, luka Heartbleed była poważnym problemem ze względu na swoją lokalizację w OpenSSL. Ponieważ OpenSSL służył jako warstwa szyfrująca SSL pomiędzy bazami danych witryn internetowych a użytkownikami końcowymi, luka Heartbleed dawała możliwość uzyskania dostępu do wielu wrażliwych danych.
Jednak w procesie komunikacji istniało drugie połączenie, które nie było szyfrowane, rodzaj bazowej warstwy zapewniającej, że oba komputery biorą udział w konwersacji.
Hakerzy znaleźli sposób na wykorzystanie tej niezabezpieczonej linii komunikacyjnej, aby wyciągnąć poufne dane z wcześniej zabezpieczonego komputera. Atakujący zalewał system żądaniami, licząc na zdobycie cennych informacji.
Heartbleed została załatana w tym samym miesiącu, w którym ją odkryto, jednak starsze wersje OpenSSL nadal mogą być podatne na tę lukę.
4. Podwójne zabójstwo
Double Kill (lub CVE-2018-8174) była krytyczną luką zero-day, która zagrażała systemom Windows. Odkryta w 2018 roku, ta słabość trafiła na czołówki serwisów informacyjnych o cyberbezpieczeństwie ze względu na jej obecność we wszystkich systemach operacyjnych Windows począwszy od wersji 7.
Double Kill umiejscowiona jest w przeglądarce Windows Internet Explorer i wykorzystuje lukę w skrypcie VB. Metoda ataku polega na użyciu złośliwej strony Internet Explorer, która zawiera kod potrzebny do wykorzystania luki.
Double Kill, jeśli zostanie wykorzystana w odpowiedni sposób, może potencjalnie nadać atakującym takie same uprawnienia systemowe, jakie posiada uprawniony użytkownik. W takich sytuacjach atakujący mogą nawet przejąć całkowitą kontrolę nad urządzeniem z systemem Windows.
W maju 2018 roku system Windows udostępnił łatkę dla Double Kill.
5. CVE-2022-0609
CVE-2022-0609 to kolejna znacząca luka w oprogramowaniu zidentyfikowana w 2022 roku. Błąd w przeglądarce Chrome okazał się luką zero-day, która była aktywnie wykorzystywana przez atakujących.
Luka ta mogła dotknąć wszystkich użytkowników przeglądarki Chrome, dlatego jej poziom ważności jest tak wysoki. CVE-2022-0609 to tak zwany błąd „use-after-free”, który daje możliwość zmiany danych i zdalnego wykonania kodu.
Google szybko wydało łatkę dla CVE-2022-0609 w aktualizacji przeglądarki Chrome.
6. Blue Keep
W maju 2019 roku Kevin Beaumont, specjalista od cyberbezpieczeństwa, odkrył krytyczną lukę w oprogramowaniu o nazwie BlueKeep. Luka ta została zlokalizowana w protokole Remote Desktop firmy Microsoft, który służy do zdalnej diagnostyki problemów systemowych, a także do zapewniania użytkownikom zdalnego dostępu do ich pulpitów z innych urządzeń.
Oficjalnie znana jako CVE-2019-0708, BlueKeep jest luką umożliwiającą zdalne wykonanie, co oznacza, że można jej użyć do zdalnego uruchomienia kodu na urządzeniu docelowym. Testy koncepcyjne przeprowadzone przez Microsoft wykazały, że atakowane komputery mogą zostać przejęte przez atakujących w mniej niż minutę, co podkreśla powagę tej słabości.
Po uzyskaniu dostępu do urządzenia, atakujący może zdalnie uruchomić kod na pulpicie użytkownika.
Jedynym pocieszeniem w przypadku BlueKeep jest fakt, że wpływa ona wyłącznie na starsze wersje systemu Windows, takie jak:
- Windows Vista.
- Windows XP.
- Windows Server 2003.
- Windows Server 2008.
- Windows Server 2008 R2.
- Windows 7.
Jeśli twoje urządzenie korzysta z nowszej wersji systemu Windows, prawdopodobnie nie musisz się martwić o BlueKeep.
7. ZeroLogon
ZeroLogon, oficjalnie znana jako CVE-2020-1472, to luka w oprogramowaniu firmy Microsoft odkryta w sierpniu 2020 roku. System Oceny Powszechnych Luk w Zabezpieczeniach (CVSS) ocenił tę lukę na 10 punktów w 10-punktowej skali ważności, co czyni ją niezwykle niebezpieczną.
Luka ta wykorzystuje zasoby usługi Active Directory, która zazwyczaj znajduje się na serwerach firmowych z systemem Windows. Oficjalnie jest to znane jako Active Directory Netlogon Remote Protocol.
ZeroLogon zagraża użytkownikom, ponieważ pozwala na modyfikację poufnych danych konta, w tym haseł. Luka wykorzystuje metodę uwierzytelniania, która umożliwia dostęp do kont bez weryfikacji tożsamości.
W tym samym miesiącu, w którym ją odkryto, Microsoft wypuścił dwie łatki dla ZeroLogon.
Luki w oprogramowaniu są niepokojąco powszechne
Tak bardzo polegamy na oprogramowaniu, że błędy i wady są nieuniknione. Niektóre z tych błędów w kodzie mogą jednak prowadzić do luk w zabezpieczeniach, które łatwo wykorzystać, narażając zarówno dostawców, jak i użytkowników.