31 000 уязвимостей на один пилотный проект: о чем говорят результаты сканирования MaxPatrol VM

31 000 уязвимостей на один пилотный проект: о чем говорят результаты сканирования MaxPatrol VM
25.01.2022
Специалисты Positive Technologies проанализировали данные, полученные в рамках пилотных проектов MaxPatrol VM в 2021 году, по результатам которых было просканировано более 15000 сетевых узлов в инфраструктурах госучреждений, учреждений науки и образования, финансовых организаций и телекоммуникационных компаний.

В ходе сканирований в среднем в рамках одного пилотного проекта было выявлено 31 066 уязвимостей, при этом критически опасные уязвимости были обнаружены на всех пилотных проектах. В среднем, более 800 уязвимостей в инфраструктуре компаний являются крайне опасными, такие уязвимости Positive Technologies называет трендовыми (которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время), требующими первоочередных действий по устранению.

Эксперты Positive Technologies подчеркивают необходимость приоритизации уязвимостей по степени их влияния на реализацию недопустимых для компаний событий, поскольку далеко не все уязвимости, даже обладающие критическим и высоким риском, могут негативно повлиять на наиболее ценные активы компании.

«На наш взгляд, есть две группы факторов, которые влияют на приоритет устранения уязвимости: значимость и доступность для злоумышленника актива, на котором обнаружена уязвимость, и степень опасности самой уязвимости — высокая вероятность того, что злоумышленник ее проэксплуатирует. Нередко специалисты по безопасности забывают про первую группу факторов и руководствуются только второй. Например, по результатам нашего опроса оказалось, что 29% респондентов приоритизируют обнаруженные уязвимости только по типу, базовой оценке CVSS и наличию эксплойта. Однако, мы считаем, что нельзя пренебрегать ни одной группой факторов», — комментирует аналитик компании Positive Technologies Яна Юракова.

Таблица 1 – Примеры трендовых уязвимостей

Тип уязвимости Объект Идентификатор уязвимости Оценка базовой метрики вектора CVSS
Удаленное выполнение кода Apace Log4j CVE-2021-44228 10,0
Удаленное выполнение кода Windows DNS-сервер CVE-2020-1350 10,0
Повышение привилегий (Zerologon) Netlogon CVE-2020-1472 10,0
Удаленное выполнение кода (BlueKeep) Служба удаленных рабочих столов (RDP) CVE-2019-0708 9,8
Удаленное выполнение кода Internet Information Services (IIS) CVE-2021-31166 9,8
Удаленное выполнение кода Apache Tomcat AJP CVE-2020-1938 9,8
Обход аутентификации libc в OpenBSD 6.6 CVE-2019-19521 9,8
Удаленное выполнение кода Модуль MSHTML CVE-2019-0541 8,8
Удаленное выполнение кода (Bad Neighbor) Windows TCP/IP CVE-2020-16898 8,8
Удаленное выполнение кода (PrintNightmare) Служба печати Windows CVE-2021-34527 8,8
Повышение привилегий Служба печати Windows CVE-2021-1675 8,8
Удаленное выполнение кода (MS17-010) SMBv1 CVE-2017-0143,
CVE-2017-0144,
CVE-2017-0145,
CVE-2017-0146,
CVE-2017-0148
8,1
Подмена данных Windows CryptoAPI CVE-2020-0601 8,1
Удаленное выполнение кода (ProxyLogon) Microsoft Exchange Server CVE-2021-26855,
CVE-2021-27065
9,8 и 7,8
Повышение привилегий Windows Win32k CVE-2021-1732 7,8
Повышение привилегий Windows Kernel CVE-2020-17087 7,8

По мнению экспертов Positive Technologies, прежде чем переходить к процессу выявления уязвимостей, необходимо убедиться, что сканирование узлов выполняется правильно. Процесс vulnerability management должен охватывать всю IT-инфраструктуру компании, то есть необходимо проверить, что все активы идентифицированы, а в случае появления новых узлов или вывода из эксплуатации систем, перечень узлов для сканирования будет обновлен. В противном случае, может произойти ситуация, когда важный актив, например, сервер 1С или контроллер домена не попадает в область сканирования.

Для этого предлагается последовательно осуществить следующие шаги:

  1. определить, какие события могут нанести компании недопустимый ущерб, выявить ключевые и целевые системы, и разметить активы по степени значимости;
  2. провести оценку последствий использования уязвимости. Для этого нужно понять, что удастся сделать злоумышленнику в результате ее эксплуатации;
  3. ранжировать уязвимости по наличию публичного эксплойта или PoC;
  4. определите доступность системы и привилегии злоумышленника, который может потенциально использовать уязвимость;
  5. определить уровень опасности уязвимости по базовой оценке CVSS. Этот подход будет актуален, если компания хочет построить результативную систему безопасности.

В компании Positive Technologies считают, что применение этого подхода позволит в первую очередь устранять самые опасные уязвимости на действительно критичных активах, и только тогда, когда самые важные системы будут защищены, можно будет перейти к устранению уязвимостей на менее значимых активах, используя тот же принцип.