През 2024 г. ние в Dark Reading обхванахме различни атаки, експлойти и, разбира се, уязвимости в различни области. Тук разказваме за 10 нововъзникващи заплахи, за които организациите трябва да бъдат подготвени – както подробно е описано от д-р Джейсън Кларк в „10 Emerging Vulnerabilities Every Enterprise Should Know“, уебинар на Dark Reading – тъй като те непрекъснато ще се увеличават и развиват през 2025 г.
Експлойти от типа „нулев ден“
Нулевите дни и увеличаването на обема им в сферата на киберсигурността са особено тревожна тенденция, тъй като при откриването на тези бъгове няма кръпка за тях. Освен това нападателите могат да експлоатират системите, използващи тези уязвимости, незабелязано, тъй като все още не са въведени защитни мерки от организациите или предприятията.
Сред високопрофилните уязвимости от типа „нулев ден“ е Log4Shell, проследена като CVE-2021-44228, критична RCE грешка в Java Naming and Directory Interface (JNDI) на Log4j. Използвайки уязвимостта, нападателите можеха лесно да поемат контрол над уязвими системи – значителна заплаха, тъй като Log4j се използва в почти всяко Java приложение.
Други уязвимости включват PrintNightmare и Proxyshell – и двете уязвимости с отдалечено изпълнение, които според Кларк са били експлоатирани бързо и широко.
„Нарастването на броя на експлойтите от нулевия ден отчасти се дължи на по-усъвършенстваните изпълнители на заплахите“, каза Кларк в уебинара на Dark Reading. „Това може да включва неща като национални държави и използването им в целенасочени атаки.“
Чад Греъм, мениджър на екипа за реагиране при киберинциденти (CIRT) в Critical Start, обаче смята, че напредъкът с ИИ ще промени пейзажа през 2025 г.
„Както нападателите, така и защитниците ще разчитат на инструменти, управлявани от ИИ, за да автоматизират търсенето на скрити софтуерни недостатъци“, казва Греъм. „Тази промяна вероятно ще доведе до по-динамичен пейзаж в областта на киберсигурността, където непрекъснатите иновации и адаптация ще се превърнат в норма.“
Атаки по веригата на доставки
Атаките по веригата на доставки остават активна заплаха и са с тенденция към сериозност, тъй като въздействието им се разпространява каскадно върху множество страни: клиенти, доставчици и други трети страни. Атакуващите използват доверен ресурс и в крайна сметка получават достъп не само до една, а до няколко организации. Този вид заплахи продължават да бъдат актуални, тъй като организациите зависят все повече от услугите на външни изпълнители.
Най-известният пример е пробивът в SolarWinds, който засегна системата SolarWinds Orion, в ръцете на група, известна като Nobelium. Повече от 30 000 организации – включително щатски и федерални агенции – използваха системата за управление на мрежи Orion, в резултат на което зловреден софтуер със задна врата компрометира хиляди данни, мрежи и системи.
Проследяван като CVE-2020-10148 с CVSS оценка 9,8, бъгът за заобикаляне на удостоверяването позволяваше на неавтентифициран нападател да изпълнява API команди. Въпросните нападатели са били участници в напреднали постоянни заплахи (APT), които са проникнали във веригата за доставки на SolarWinds, за да вмъкнат задната врата.
„Сложността на съвременните вериги за доставки прави предизвикателство защитата на всички зависимости“, каза Кларк по време на уебинара. „Това подчертава необходимостта от стриктно управление на риска от трети страни.“
През следващата година Дана Симберкоф, главен директор по въпросите на риска, неприкосновеността на личния живот и информационната сигурност в AvePoint, смята, че ще има засилено внимание към веригите за доставки и управлението на риска от трети страни.
„Инцидентът с CrowdStrike не беше просто сигнал за събуждане – той беше ярко напомняне, че в нашата взаимосвързана екосистема едно слабо звено може да предизвика катастрофална верижна реакция“, казва Симберкоф.
Използване на инфраструктурата за отдалечена работа
След 2020 г. и пандемията COVID-19 организациите се насочиха към предложенията за дистанционна и хибридна работа, което увеличи риска от заплахи за киберсигурността и се превърна в сериозен проблем. Нападателите се фокусират върху уязвимости, които позволяват на потребителите да се занимават с дистанционна работа, като например VPN, протоколи за отдалечен работен плот (RDP) и фишинг атаки чрез платформи като Zoom и Microsoft Teams.
Имаше няколко забележителни инцидента, при които бяха използвани VPN и RDP, което позволи на заплахите да получат достъп до корпоративни системи и мрежи. Освен това отдалечените работници често работят от по-слабо защитени среди, което води до увеличаване на фишинг атаките, тъй като заплахите се опитват да се възползват от тези „слепи“ места.
„Преминаването към работа от разстояние разшири общата повърхност за атаки – каза Кларк в уебинара. „Работещите от разстояние често се нуждаят от повече средства за контрол на сигурността, отколкото тези, които работят [на място], което може да доведе до значителни уязвимости.“
Последните примери за уязвимости при отдалечена и хибридна работа включват CVE-2024-38199, уязвимост за отдалечено изпълнение на код (RCE) в услугата Windows или Line Printer Deamon (LPD), и CVE-2024-21433, уязвимост за повишаване на привилегиите на Windows Print Spooler.
„Инфраструктурата за отдалечена работа ще продължи да бъде основна цел за киберпрестъпниците през 2025 г., като ще се увеличат сложните атаки срещу облачни услуги, VPN и инструменти за сътрудничество“, казва Стивън Ковски, полеви технически директор в SlashNext Email Security+. „Вероятно ще станем свидетели на повече заплахи, задвижвани от изкуствен интелект, предназначени да заобикалят традиционните мерки за сигурност, използвайки уязвимости във взаимосвързани устройства и домашни мрежи.“
Експлоатация на системите за изкуствен интелект и машинно обучение
С възхода на ИИ и все по-широкото му използване сред обществеността идва и широко разпространеният риск от експлоатация от страна на нападателите. Кларк отбеляза за противникови атаки, отравяне на данни и атаки за обръщане на модели, които са на преден план сред възникващите заплахи за ИИ и системите за машинно обучение (ML) в частност.
Естеството на някои ML системи изисква захранване на системата с информация за постигане на най-добри резултати, като с течение на времето системата се запознава все по-добре с потребителя. Когато атаките са насочени към тези системи, това може да доведе до неоторизиран достъп до чувствителни данни, съхранявани и обработвани в тези инструменти, както и до неправилни прогнози или пристрастни решения.
„Моделите с изкуствен интелект ще бъдат ключови области на експлоатация през 2025 г.“, казва Ром Кармел, съосновател и главен изпълнителен директор на Apono. „Тъй като ИИ и машинното обучение стават неразделна част от системите за проверка на самоличността, нападателите ще намерят начини да отровят моделите на ИИ или да ги заобиколят.“
ИИ може също така просто да бъде манипулиран за злонамерени цели, както се видя, когато беше създаден дълбоко фалшив роборазговор с ИИ, който се представяше за президента на САЩ Джо Байдън, за да насърчи хората да не гласуват на първичните избори на демократите в Ню Хемпшир – събитие, което можеше да има тежки последици за изборния процес в САЩ.
„Пейзажът на заплахите се развива с бързото навлизане на изкуствения интелект и ML“, каза Кларк по време на уебинара. „Нападателите все повече се фокусират върху тези системи, за да подкопаят тяхната надеждност и да се възползват от уязвимостта им“.
Неправилни конфигурации на облака
Тъй като организациите продължават да прехвърлят операциите си в облака, той ще продължи да се превръща в място, където заплахите могат да се развиват, често поради това, че облакът просто не е правилно конфигуриран.
Често срещани примери за заплахи, които се разпространяват в облака, са публично достъпни S3, неправилно конфигурирани групи за сигурност в AWS и открити бази данни.
„Неправилните конфигурации на облака могат да имат сериозни последици, свързани с нарушаване на сигурността на данните, неоторизиран достъп до критични системи, финансови загуби и увреждане на репутацията“, казва Кларк. Той добави, че сложността на тези среди ще се увеличава, което ще доведе до по-чести грешки в конфигурацията.
В миналото облачните среди на Amazon и Microsoft са излагали на опасност данни на клиенти, като например навици за гледане, имена, имейл адреси, съдържание на имейли и телефонни номера. Изтичането на данни не се дължи на уязвимости, а на неправилни конфигурации, вариращи от несигурни разрешения за четене и запис до неточни списъци за достъп и неправилно конфигурирани политики.
„За да предотвратят успешно пробиви в облака през 2025 г., компаниите трябва да се съсредоточат върху три ключови области: видимост, контрол на достъпа и непрекъснато наблюдение“, казва Джейсън Сороко, старши сътрудник в Sectigo. „Облачните среди са динамични, така че и вашата сигурност трябва да бъде динамична.
Уязвимости на устройствата на IoT
Устройствата на интернет на нещата дават възможност за процъфтяване на нови заплахи, тъй като са лесни цели за използване от участниците в заплахите, независимо дали става въпрос за слаби пароли по подразбиране, липса на криптиране или несигурен фърмуер.
Често срещани атаки, с които се сблъскват устройствата на IoT, са кражба на данни, пробиви в мрежата и разпределени атаки за отказ на услуга (DDoS). Неотдавнашен пример се появи в Common Unix Printing System (CUPS) за управление на принтери и задания за печат. Поредицата от уязвимости, проследени като CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177, може да позволи на недоброжелатели да организират DDoS атаки в рамките на секунди за по-малко от 1 цент, като същевременно използват налична облачна платформа.
„Самият обем на свързаните устройства наистина засилва заплахата“, отбеляза Кларк по време на уебинара. „Обезопасяването на тези устройства става истинско предизвикателство поради тяхното разнообразие и често ограничената изчислителна мощност за добавяне на функции за сигурност.“
И тъй като използването на IoT, OT и 5G мрежи продължава да нараства, организациите ще се нуждаят от разузнаване на киберзаплахите (CTI), което да се разпростира извън традиционните ИТ среди, казва Кали Гюнтер, старши мениджър, изследване на киберзаплахите в Critical Start. „Това разширяване, което ще продължи през 2025 г., ще добави сложност към CTI, изисквайки по-гранулирани прозрения и специфични разузнавателни данни.“
Криптографски слабости
Според Кларк криптографските слабости продължават да представляват значителна заплаха, тъй като този вид уязвимости подкопават основите на сигурната комуникация и защитата на данните. Тези слабости често се проявяват по един от двата начина: недостатъци в алгоритмите за криптиране или в начина, по който алгоритмите са реализирани.
„Нарастващата заплаха се усложнява от факта, че с напредването на изчислителните възможности този предишен сигурен криптографски стандарт става все по-уязвим“, каза Кларк по време на уебинара.
Той препоръча редовно актуализиране на криптографските библиотеки и прилагане на силни протоколи за криптиране, за да се избегнат опити за експлоатация като атаки „човек в средата“, проблеми с целостта на данните и изложена на риск чувствителна информация.
Съвсем наскоро Acros Security откри уязвимост, подобна на CVE-2024-38030, която дава възможност за атака, при която уязвимо устройство е принудено да изпрати NTLM хеш, който е криптографската версия на паролата на потребителя, на заплахата.
„Никога досега не сме изисквали от [доставчиците на облачни услуги] толкова детайлна и подробна информация за вида на използваното криптиране, но клиентите (както правителствени, така и неправителствени) ще изискват това ниво на детайлност, за да гарантират, че техните стандарти за криптиране се спазват“, казва Филип Джордж, изпълнителен технически стратег в InfoSec Global Federal.
Пропуски в сигурността на API
Все повече организации разчитат на API за свързване на системите; тези API обаче са изложени на риск, когато имат недостатъци в дизайна или в изпълнението на API. Атакуващите могат да пробият системите чрез неоторизиран достъп, което им позволява да манипулират определени ограничени действия.
Забележителен пример за това е излагането на потребителските данни чрез API на Facebook, въпреки че тези недостатъци са широко разпространени и в други сектори, като например здравеопазването или финансовите услуги.
Пропуските в сигурността на API в крайна сметка служат като отправна точка, често за пробиви в данните, които могат да доведат до загуба на чувствителна информация, неразрешени транзакции, увреждане на репутацията и значителни финансови загуби.
„Заплахата ескалира, тъй като API става все по-разпространен, увеличавайки броя на потенциалните повърхности за атаки“, казва Кларк. „За да намалите тези рискове, от съществено значение е да защитите крайните си точки на API, да приложите надеждни механизми за удостоверяване и редовно да актуализирате и одитирате достъпа до API.“
API на Docusign наскоро беше използван в широкомащабна фишинг кампания поради неговата „API-friendly среда“, която е полезна за бизнеса, но също така предоставя начин на лошите играчи да извършват злонамерени операции. В крайна сметка недостатъкът би могъл да доведе до случаи на измама, въпреки че има начини потребителите да избягват и откриват подобни злоупотреби с API.
През следващата година кибернетичният пейзаж ще продължи да се развива, като API ще бъде в челните редици на тези промени.
„Очакваме ръст на сложните атаки срещу API, използващи автоматизация, изкуствен интелект и усъвършенствани техники за избягване, за да се използват уязвимостите и да се заобикалят традиционните мерки за сигурност“, казва Ерик Швейк, директор по стратегията за киберсигурност в Salt Security. „Един от значителните рискове ще произтича от използването на неправилни конфигурации на API, които често се появяват поради бързия темп на разработване и внедряване. Тази ситуация ще предизвика организациите да възприемат по-проактивен и всеобхватен подход към сигурността на API.“
Еволюция на рансъмуера
„Можем да направим цял уебинар за ransomware“, каза Кларк по време на уебинара, което повдига въпроса: Може ли ransomware изобщо да се счита за нововъзникваща заплаха?
Отговорът е „да“, въпреки че ransomware атаките се превърнаха в едни от най-разрушителните и скъпоструващи кибератаки, главно поради бързата си еволюция.
Една от най-забележителните атаки с рансъмуер се случи на тръбопровода Colonial Pipeline, който за първи път спря цялата си дейност, което доведе до недостиг на гориво и обявяване на извънредно положение в четири щата на Източното крайбрежие. Атаката с ransomware предизвика действия от страна на националната сигурност и изпълнителната власт и наложи преоценка на сигурността на критичната инфраструктура на страната.
Участниците в заплахите знаят, че могат да спечелят много, когато искат откупи от организации, като например тези в сектора на здравеопазването, които ще платят тези високи цени, за да помогнат на нуждаещите се пациенти.
„Тъй като тези атаки стават все по-целенасочени и, честно казано, агресивни, от решаващо значение е да започнете да прилагате надеждни стратегии за резервно копие, да укрепите цялостните си планове за реагиране при инциденти и непрекъснато да обучавате служителите си да разпознават и избягват неща като опитите за фишинг, които често могат да послужат като входна точка за рансъмуер“, каза Кларк по време на уебинара.
Според Брандън Уилямс, главен технологичен директор в Conversant Group, резервните копия невинаги могат да бъдат опция.
„Някои престъпници са преминали към изтриване на данни като част от обичайните си действия“, казва той. „Ако това набере скорост през 2025 г., организациите няма да имат метод за възстановяване, като просто платят откуп и се надяват да получат работещ инструмент за декриптиране. Единственият метод за възстановяване ще бъдат резервните копия; данните обаче показват, че резервните копия обикновено не оцеляват след тези пробиви.“
Уязвимости на мрежата 5G
Мрежите 5G се внедряват бързо, а с тях идва и осъзнаването и използването на уязвимостите им от страна на заплахите. Нападателите все по-лесно могат да се насочват към 5G инфраструктурата, а това отваря вратата за още по-големи заплахи, като например мащабни DDoS атаки, неоторизиран достъп до данни и прекъсване на нашите критични услуги.
„Докато разглеждаме нарастващата заплаха, глобалното разпространение на 5G води до увеличаване на броя на свързаните устройства“, каза Кларк в уебинара. „Нарастващият им брой засилва риска от атаки, особено като се има предвид зависимостта им от инфраструктури, базирани на облачни технологии.“
На Black Hat 2024 в Лас Вегас седем изследователи от Университета на Пенсилвания подробно описаха как мобилните устройства са изложени на риск от кражба на данни и отказ на услуга поради уязвимости в технологията 5G. Участниците в заплахите използват тези ресурси просто като предоставят на някого интернет връзка, което позволява лесен достъп до шпионаж, фишинг и др.
„Уязвимости като липса на първоначална автентификация на излъчваните съобщения, нарязване на спектъра, тихо понижаване и незащитено DNS пейджиране понастоящем засягат 5G мрежите“, казва Майуреш Дани, мениджър, изследвания в областта на сигурността, в Qualys Threat Research Unit. „През следващата година те ще продължат да засягат 5G мрежите, а уязвимостите в незащитените базови станции ще умножат атаките с шпиониране.“