בית שעון האבטחה עם כל כך הרבה באגים ישנים יותר בסביבה, מדוע לטרוח עם אפס ימים?

עם כל כך הרבה באגים ישנים יותר בסביבה, מדוע לטרוח עם אפס ימים?

Anonim

אל תישא באובססיביות לגבי פגיעויות של אפס יום והתקפות ממוקדות מאוד. תוקפים נוטים יותר לנצל פגמים ישנים ומוכרים ביישומי אינטרנט, לכן מתמקדים במקום זאת בתיקונים בסיסיים ובהיגיינת אבטחה.

פגיעות שתוקנה בשנת 2010 ואחת נוספת בשנת 2009 היו בין עשר הפגיעויות המקוונות הנפוצות ביותר באפריל, אמר בארי שטיימן, מנהל אסטרטגיית האבטחה של אימפרבה, ל- SecurityWatch. למרות גילם, תוקפים פרטיים וגם מתועשים ממשיכים למקד לפגיעויות אלה, מכיוון שמסעות ההתקפה הללו הם "משתלמים". ההתקפה אינה דורשת קנייה או פיתוח של מעלות יקרות של אפס יום "כישנות שיש בהן עבודה זמינה באותה מידה", אמר שטיימן.

התוקפים מבינים כי פגיעויות ישנות יותר הן פרי התלויות של אבטחת יישומי האינטרנט. התוקפים יכולים להיות מתוחכמים אם הם צריכים, ויש כלים העומדים לרשותם לעצב קמפיינים מורכבים. אבל מדוע לטרוח כשאנשים מתייחסים לגרסאות מיושנות של יישומי אינטרנט או מנהלי מערכת אינם מקפידים על לוח זמנים קבוע של תיקון יישומים. שטיימן אמר כי הבעיה נפוצה אף יותר ביישומים שנמצאים בשימוש נרחב, כמו תוכנות לפורומים, מערכות ניהול תוכן ואפילו כלים למסחר אלקטרוני.

מערכות בסיכון

כל הפגיעויות שכוונו באפריל היו התקפות הזרקה, כגון הזרקת קובץ ו- SQL וכולן טופלו. הפגם של 2010 ניצל סוגיית ניהול הרשאות ב- ZeusCMS 0.2 והבאג לשנת 2009 היה הזרקת SQL ב- Zen Cart 1.3.8 ואילך. "נראה כי הפגיעות אף פעם לא מתות", אמר שיימן.

אם התוקפים ידעו על בעיה ב- CMS אחת וכי CMS הותקן 10 מיליון פעמים, לחפש אתרים שמריצים גרסה זו של התוכנה "הגיוני", אמר שיימן. זה דורש קצת גוגל-פו שיקול דעת ולא שום דבר אחר.

אימפרבה סיפקה תרשים של עשר הפגיעויות העיקריות הממוקדות, ושלושה דברים צצו. הפגיעות "החדשה ביותר" ברשימה היא משנת 2013. כפי שניתן לראות בציון ה- CVSS, הפגיעויות עצמן אינן פגמים מתוחכמים וקריטיים ביותר. והניצולים עצמם אינם כה מורכבים.

היו הרבה התקפות המוניות נגד תוכנת CMS פופולרית, כולל וורדפרס וג'ומלה. עם מספיק מערכות פגיעות בחוץ, זה הרבה יותר זול וקל יותר עבור התוקפים לחפש מערכות אלו במקום לבצע התקפות של אפס יום.

עלייה בעולם ההזרקה

התוקפים פשוט משתמשים שוב ושוב בווקטורי התקפה הקיימים שהתגלו לאחרונה. זו הסיבה שהזרקת SQL ו- scripting בין אתרים נותרים וקטורי התקפה פופולריים. בעיית SQLi נפתרה לפני עשר שנים, אך שיעורי ההתקפה עדיין גבוהים. סקריפטים בין אתרים היוו 40 אחוז מההתקפות בשלושת החודשים האחרונים והזרקת SQL הייתה 25 אחוז, אמר.

"אם יש לנו תרופה לסרטן, אתה מצפה לראות ירידה בשיעורי התמותה. אבל זה לא המקרה של הזרקת SQL, " אמר שיימן.

מבט חטוף ב- Exploit-db.com מאשר את התצפיות של שיימן. מתוך שבעת הניצולים הרשומים תחת יישומי רשת, חמישה עסקו באופן כלשהו בתוכנות מחוץ למדף, כמו וורדפרס, AuraCMS, או הפלטפורמה העסקית החברתית שרטרוניקס. התקפות הזרקת XSS ו- SQL הופיעו לעתים קרובות.

מנהלי מערכת, בין אם הם מנהלים אתרים שיש בהם מיליוני משתמשים בכל יום, או אתר עם נוכחות מקוונת קטנה יותר, צריכים להבטיח שהם מתקנים את התוכנה שלהם באופן קבוע. מפתחי CMS רבים פשטו את תהליך העדכון בתוכנה שלהם, ויש כלים שיעזרו בזיהוי כל היישומים שהותקנו. יש לבטל את התכונות שאינן בשימוש.

בטח, ההתקפות של אפס יום והתקפות ממוקדות מפחידות. אבל אם התוקפים באים על הנתונים והאתר שלך (והסיכויים הם גדולים למישהו), אל תקל בזה על ידי חורים בתוכנה שלך. טלאי, הפעל כלי הערכה וחפש התנהגות חשודה. ערנות היא המפתח.

עם כל כך הרבה באגים ישנים יותר בסביבה, מדוע לטרוח עם אפס ימים?