Działanie wszystkich programów komputerowych opiera się na kodzie, ale błędy w kodzie mogą ustąpić miejsca lukom w oprogramowaniu. Niektóre z nich wywołały powszechną panikę i tragiczne konsekwencje, wstrząsając światem cyberbezpieczeństwa.
Które luki w oprogramowaniu są największe i najbardziej niebezpieczne?
Spis treści:
1. Log4Shell
Luka w oprogramowaniu Log4Shell istniała w Apache Log4j, popularnej platformie rejestrowania Java używanej przez dziesiątki milionów ludzi na całym świecie.
W listopadzie 2021 r. Chen Zhaojun, członek zespołu Alibaba Cloud Security Team, odkrył krytyczną lukę w kodzie. Zhaojun jako pierwszy zauważył lukę na serwerach Minecrafta.
Luka, oficjalnie nazwana CVE-2021-44228, stała się znana jako Log4Shell.
Luka w zabezpieczeniach Log4Shell jest luką zero-day, więc została wykorzystana przez złośliwe podmioty, zanim została zauważona przez ekspertów ds. cyberbezpieczeństwa, co oznacza, że mogli uruchomić zdalne wykonanie kodu. Dzięki temu hakerzy mogą instalować złośliwy kod w Log4j, umożliwiając kradzież danych, szpiegowanie i rozprzestrzenianie złośliwego oprogramowania.
Chociaż niedługo po wykryciu luki Log4Shell została wydana łatka, ta luka w zabezpieczeniach w żadnym wypadku nie należy już do przeszłości.
Cyberprzestępcy do dziś wykorzystują Log4Shell w swoich exploitach, chociaż łatka znacznie obniżyła poziom zagrożenia. Według Rezilionszokujące 26 procent publicznych serwerów Minecraft jest nadal podatnych na Log4Shell.
Jeśli firma lub osoba prywatna nie zaktualizowała swojego oprogramowania, luka w zabezpieczeniach Log4Shell prawdopodobnie nadal będzie istnieć, otwierając otwarte drzwi dla atakujących.
2. Wieczny niebieski
EternalBlue (oficjalnie znany jako MS17-010) to luka w oprogramowaniu, która zaczęła wywoływać poruszenie w kwietniu 2017 roku. Zaskakujące w tej luce jest to, że została częściowo opracowana przez NSA, ogromną amerykańską agencję wywiadowczą znaną z pomocy Departamentowi ds. Obrona ze sprawami wojskowymi.
NSA odkryła lukę EternalBlue w firmie Microsoft, ale dopiero pięć lat później firma dowiedziała się o tej usterce. NSA pracowała nad EternalBlue jako możliwą bronią cybernetyczną, a powiadomienie o tym świata wymagało hakowania.
W 2017 roku grupa hakerska znana jako Shadow Brokers ujawniła istnienie EternalBlue po cyfrowej infiltracji NSA. Okazało się, że luka dała NSA tajny backdoor do szeregu urządzeń opartych na systemie Windows, w tym tych z systemem Windows 7, Windows 8 i często oczernianym systemem Windows Vista. Innymi słowy, NSA mogła uzyskać dostęp do milionów urządzeń bez wiedzy użytkowników.
Chociaż istnieje łatka dla EternalBlue, Microsoft i brak świadomości opinii publicznej o tej usterce pozostawiają urządzenia podatne na ataki przez lata.
3. Krwawienie z serca
Luka w zabezpieczeniach Heartbleed została oficjalnie wykryta w 2014 roku, chociaż była obecna w bibliotece kodów OpenSSL przez dwa lata wcześniej. Niektóre przestarzałe wersje biblioteki OpenSSL zawierały Heartbleed, które po wykryciu zostało uznane za poważne.
Znany oficjalnie jako CVE-2014-0160, Heartbleed był dość krytycznym problemem ze względu na jego lokalizację w OpenSSL. Ponieważ OpenSSL był używany jako warstwa szyfrująca SSL między bazami danych stron internetowych a użytkownikami końcowymi, dzięki luce Heartbleed można było uzyskać dostęp do wielu wrażliwych danych.
Ale podczas tego procesu komunikacji istniało inne połączenie, które nie było szyfrowane, rodzaj warstwy podstawowej, która zapewniała aktywność obu komputerów w rozmowie.
Hakerzy znaleźli sposób na wykorzystanie tej niezaszyfrowanej linii komunikacyjnej, aby wycisnąć poufne dane z wcześniej zabezpieczonego komputera. Zasadniczo osoba atakująca zalewałaby system żądaniami w nadziei na odzyskanie kilku cennych informacji.
Heartbleed został załatany w tym samym miesiącu, co jego oficjalne odkrycie, ale starsze wersje OpenSSL nadal mogą być podatne na tę lukę.
4. Podwójne zabójstwo
Double Kill (lub CVE-2018-8174) była krytyczną luką zero-day, która zagrażała systemom Windows. Ta luka, odkryta w 2018 roku, trafiła na pierwsze strony gazet zajmujących się cyberbezpieczeństwem ze względu na jej obecność we wszystkich systemach operacyjnych Windows począwszy od wersji 7.
Double Kill znajduje się w przeglądarce Windows Internet Explorer i wykorzystuje lukę w skrypcie VB. Metoda ataku polega na wykorzystaniu złośliwej strony Internet Explorer, która zawiera kod wymagany do wykorzystania luki.
Double Kill może potencjalnie dać atakującym takie same uprawnienia systemowe, jak oryginalny, autoryzowany użytkownik, jeśli zostanie prawidłowo wykorzystany. W takich scenariuszach osoby atakujące mogą nawet uzyskać całkowitą kontrolę nad urządzeniem z systemem Windows.
W maju 2018 roku system Windows wydał łatkę dla Double Kill.
5. CVE-2022-0609
CVE-2022-0609 to kolejna poważna luka w oprogramowaniu zidentyfikowana w 2022 roku. Błąd w Chrome okazał się luką zero-day, która była wykorzystywana przez atakujących.
Luka ta może dotyczyć wszystkich użytkowników przeglądarki Chrome, dlatego jej poziom ważności jest tak wysoki. CVE-2022-0609 to tak zwany błąd typu „use-after-free”, co oznacza, że ma możliwość zmiany danych i zdalnego wykonania kodu.
Google nie zajęło dużo czasu, aby wydać łatkę dla CVE-2022-0609 w aktualizacji przeglądarki Chrome.
6. Blue Keep
W maju 2019 roku Kevin Beaumont, ekspert ds. cyberbezpieczeństwa, odkrył krytyczną lukę w oprogramowaniu, znaną jako BlueKeep. Lukę można znaleźć w protokole Remote Desktop firmy Microsoft, który służy do zdalnego diagnozowania problemów systemowych, a także zapewniania użytkownikom zdalnego dostępu do ich pulpitów z innego urządzenia.
Oficjalnie znany jako CVE-2019-0708, BlueKeep jest luką w zabezpieczeniach umożliwiającą zdalne wykonanie, co oznacza, że można go użyć do zdalnego wykonania kodu na urządzeniu docelowym. Weryfikacja koncepcji opracowanych przez firmę Microsoft wykazała, że atakowane komputery mogą zostać przejęte i przejęte przez atakujących w mniej niż minutę, co podkreśla wagę luki.
Po uzyskaniu dostępu do urządzenia osoba atakująca może zdalnie wykonać kod na pulpicie użytkownika.
Jedyną zaletą BlueKeep jest to, że wpływa tylko na starsze wersje systemu Windows, w tym:
- Windows Vista.
- Windows XP.
- Windows Serwer 2003.
- Windows Serwer 2008.
- Windows Serwer 2008 R2.
- System Windows 7.
Jeśli Twoje urządzenie działa w systemie operacyjnym Windows nowszym niż wymienione powyżej, prawdopodobnie nie musisz się martwić o BlueKeep.
7. ZeroLogon
ZeroLogon, lub CVE-2020-1472, jak jest oficjalnie znany, to luka w zabezpieczeniach oprogramowania firmy Microsoft wykryta w sierpniu 2020 r. Common Vulnerability Scoring System (CVSS) ocenił tę lukę na 10 na 10 w skali ważności, co czyni ją wysoce niebezpieczny.
Może to wykorzystać zasoby usługi Active Directory, które zwykle istnieją na serwerach korporacyjnych z systemem Windows. Oficjalnie jest to znane jako Active Directory Netlogon Remote Protocol.
ZeroLogon naraża użytkowników na ryzyko, ponieważ może zmienić poufne dane konta, w tym hasła. Luka wykorzystuje metodę uwierzytelniania, aby można było uzyskać dostęp do kont bez weryfikacji tożsamości.
W tym samym miesiącu, w którym zostało odkryte, Microsoft wydał dwie łatki dla ZeroLogon.
Luki w oprogramowaniu są niepokojąco powszechne
Tak bardzo polegamy na oprogramowaniu, że naturalne jest, że pojawiają się błędy i wady. Jednak niektóre z tych błędów kodowania mogą ustąpić miejsca lukom w zabezpieczeniach, które można łatwo wykorzystać, narażając zarówno dostawców, jak i użytkowników.