Co to jest Zero-Day Exploit?

Wyobraź sobie, że masz w swoim domu tajne drzwi, o których nie wiesz że istnieją są one ukryte tak dobrze, że nawet twoja rodzina nie wie, że istnieją nikt nie wie. Te tajne drzwi są jak „zero-day” w cyberświecie. To słabość lub podatność w programie komputerowym, aplikacji lub systemie operacyjnym, o której nikt nie wie, nawet ludzie, którzy to stworzyli.

Teraz, załóżmy, że zły człowiek odkrywa te tajne drzwi i wykorzystuje je, aby podkraść się do twojego domu, a ty o tym nie wiesz nikt z twojej rodziny o tym nie wie. W cyberświecie nazywamy to „zero-day exploit”. To wtedy, gdy cyberprzestępca znajduje ukrytą słabość w systemie komputerowym i wykorzystuje ją, aby dostać się do środka, a nikt o tym nie wie nawet nie przypuszcza że ktoś jest w środku.

To dlatego Zero-Day Exploits są tak niebezpieczne?!

Zero-day exploit jest jak tajna bronie w rękach hakerów. Oto dlaczego jest tak niebezpieczny:

Brak obrony: ponieważ nikt nie wie o podatności (zero-day), więc nie ma sposobu na obronę przed tą podatnością. Regularne programy antywirusowe i środki bezpieczeństwa nie mogą chronić cię przed czymś, o czym nawet nie wiadomo że istnieje.

Atak niespodzianka: hakerzy używają zero-day exploits, aby przeprowadzić ataki niespodzianki. Mogą ukraść twoje dane osobowe, szpiegować cię lub spowodować uszkodzenie twojego komputera lub nawet całej sieci.

Brak czasu na naprawę: po użyciu zero-day exploit, zegar zaczyna odmierzać czas. Programiści potrzebują czasu, aby zrozumieć problem i stworzyć poprawkę, zwany „patchem”. Do czasu, gdy ta poprawka będzie gotowa, twój komputer i inne są podatne na ataki.

Wartościowe cele: hakerzy często zachowują zero-day exploits dla ataków na cele wysokiej wartości, takich jak agencje rządowe, duże firmy lub ważne jednostki. Mogą użyć tych exploitów, aby uzyskać dostęp do wrażliwych danych lub wywołać chaos.

Jak hakerzy znajdują Zero-Day Exploits?

Hakerzy zawsze szukają nowych podatności. Mogą odkrywać te podatności  przez:

Studiowanie kodu: niektórzy hakerzy studiują kod komputerowy, aby znaleźć błędy lub ukryte drzwi. To jakby grali w grę w chowanego ze programistami.

Reverse engineering: mogą rozbierać programy lub aplikacje, aby zobaczyć, jak działają. Czasami znajdują ukryte podatności w procesie.

Szpiegowanie na forach: niektórzy hakerzy udzielają się na forum internetowych w dyskusji, gdzie eksperci od komputerów rozmawiają o problemach z oprogramowaniem. Mogą dowiedzieć się o zero-days wcześniej niż ktokolwiek inny.

Kupowanie lub handel: wierz lub nie, ale niektórzy hakerzy kupują lub handlują zero-day exploitami między sobą. Takie exploity są jak rzadkie i cenne skarby w podziemiu przestępczym.

Jak możemy chronić się przed Zero-Day Exploitami?

Chociaż zero-day exploits są bardzo groźne, są kroki, które możemy podjąć, aby się przed nimi chronić:

Zachowaj Aktualne Oprogramowanie: aktualizuj swoje oprogramowanie, aplikacje i systemy operacyjne na bieżąco, otrzymasz poprawki, które w największym stopniu  utrudnią hakerom wykorzystanie zero-day exploits przeciw Twojej infrastrukturze informatycznej.

Użyj Silnych Haseł: silne, unikalne hasło dla każdego z twoich kont online to dobra obrona. Jeśli haker dostanie się do jednego konta, nie będzie miał automatycznie dostępu do wszystkich twoich innych kont.

Użyj oprogramowania antywirusowego: nawet jeśli nie może złapać każdego nowego zero-day exploit, oprogramowanie antywirusowe nadal może chronić cię przed znanymi zagrożeniami i jest dodatkową warstwą bezpieczeństwa.

Bądź na bieżąco z informacjami: śledź najnowsze wiadomości z zakresu cyberbezpieczeństwa. Jeśli usłyszysz o zero-day exploit dla określonego programu, którego używasz, bądź szczególnie ostrożnym i aktualizuj to oprogramowanie natychmiast jak tylko pojawi się odpowiedni patch.

Praktykuj bezpieczne nawyki internetowe: bądź ostrożny przy klikaniu na linki lub pobieraniu plików z niezaufanych źródeł. Wiele cyberataków zaczyna się od prostego kliknięcia.

Zrób kopię zapasową swoich danych: regularnie twórz kopie zapasowe swoich ważnych plików na zewnętrznym dysku twardym lub w chmurze. Jeśli haker zaatakuje, nie stracisz swoich cennych zdjęć ani dokumentów.

Edukuj się: dowiedz się o powszechnych zagrożeniach cybernetycznych i jak je rozpoznawać. Czasami twoja własna świadomość może być najlepszą obroną.

Podsumowanie

Zero-day exploits są rzeczywiście najbardziej niebezpiecznymi zagrożeniami cybernetycznymi, ponieważ zaskakują nas. Są to jak tajne drzwi, których hakerzy używają, aby wkraść się do naszych cyfrowych domów. Ale dzięki pozostawaniu na bieżąco, praktykowaniu dobrych nawyków online i patchowaniu naszego oprogramowania na bieżąco, możemy sprawić, że hakerom będzie znacznie trudniej wykorzystać te ukryte podatności przeciwko nam. Cyberbezpieczeństwo może wydawać się skomplikowane, ale kilkoma prostymi krokami możemy chronić się przed najbardziej niebezpiecznymi zagrożeniami w świecie cyfrowym.

Top pięć najczęściej wykorzystywanych podatności w styczniu

W styczniu 2024 roku świat cyberbezpieczeństwa był świadkiem znacznego wzrostu zagrożeń, skupiających się na wykorzystywaniu podatności w technologiach wiodących dostawców. Poniżej przedstawiam szczegółową analizę najbardziej krytycznych słabości, które były celem ataków w styczniu 2024.

CVE-2023-46805 i CVE-2024-21887: CISA ostrzega przed słabościami Zero-Day w produktach Ivanti

W dniu 19 stycznia 2024 r. Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), wydała alert dotyczący dwóch krytycznych podatności zero-day odkrytych w produktach Ivanti:

• CVE-2023-46805

• CVE-2024-21887

Przypisane punktacji CVSS wynoszącej 8.2 (wysoki) oraz 9.1 (krytyczny)
CVE-2023-22527: krytyczna podatność  w zdalnym wykonaniu kodu Atlassian Confluence.

W dniu 16 stycznia 2024 r. Atlassian, ujawnił krytyczną lukę bezpieczeństwa, CVE-2023-22527, wpływającą na starsze wersje Confluence Data Center i Confluence Server. Ta podatność, oceniona 9.8 na skali CVSS 3.1.

Ze względu na krytyczny charakter CVE-2023-22527 i na to że jest aktywnie wykorzystywany aktywną eksploatację, niezbędna jest natychmiastowa aktualizacja do najnowszej, bezpiecznej wersji .

CVE-2024-20253: podatność w wykonywaniu kodu zdalnego (RCE) w Produktach Cisco Unified Communications

Cisco ujawnił krytyczną słabość, CVE-2024-20253, w dniu 24 stycznia 2024 r., dotyczącą kilku produktów Cisco Unified Communications Manager i Contact Center Solutions. Podatność ta  oceniona jako zagrożenie krytyczne z punktacją CVSS wynoszącą 9.9.

Dotknięte produkty Cisco obejmują różne wersje Unified Communications Manager, Unified Communications Manager IM & Presence Service, Unified Communications Manager Session Management Edition, Unified Contact Center Express, Unity Connection i Virtualized Voice Browser.

Cisco wydało darmowe aktualizacje oprogramowania, aby zapobiec tej podatności i zalecane jest jak najszybsze zaktualizowanie, aby zminimalizować ryzyko wynikające z CVE-2024-20253.

CVE-2023-34048: Podatność w vCenter Server

UNC3886, zaawansowana grupa szpiegowska związaną z Chinami, wykorzystywała podatność w systemach vCenter firmy VMware zidentyfikowaną jako CVE-2023-34048 od końca 2021 roku, długo przed jej publicznym zgłoszeniem i następnym uaktualnieniem w październiku 2023 roku. Ta grupa jest biegła w wykorzystywaniu słabości zero-day w technologiach pozbawionych narzędzi EDR (Endpoint Detection and Response).

Proces ataku stosowany przez UNC3886 jest opisany następująco:

• Podatność CVE-2023-34048 została wykorzystana do zainstalowania tylnych drzwi (back door) w systemie vCenter.

• Atakujący następnie pozyskali hasła w postaci zwykłego tekstu do hostów ESXi podłączonych do vCenter, wymieniając wszystkie hosty ESXi i ich odpowiednie maszyny wirtualne.

• Korzystając z tych haseł, atakujący połączyli się z hostami ESXi z serwera vCenter.

• Dwa tylnie drzwi (back door), VIRTUALPITA i VIRTUALPIE, zostały zainstalowane poprzez złośliwe instalacje VIB na hostach ESXi.

• Pozwoliło to atakującemu na bezpośrednie połączenie się z hostami ESXi lub maszynami wirtualnymi za pośrednictwem tylnych drzwi.

• Inną słabością, CVE-2021-21978, została użyta w połączeniu z tylnymi drzwiami w celu uruchomienia pętli rozpoznania do uruchomienia kodu z pamięci, wykradając dane wrażliwe z określonych maszyn wirtualnych w przypadku spełnienia warunków.

• Atakujący próbowali wykorzystać słabość w Lotus Domino do komunikacji ze złośliwym serwerem, chociaż nie było jasne, czy ten element miał związek z atakami przeprowadzanymi przez UNC3886.

Czas wykrycia i reakcji na atak wynosił kilka tygodni lub miesięcy, a UNC3886 pozostała obecna w środowiskach, które zainfekowała, na tyle długo, że wygenerowane przez nią tylnie drzwi pozostały w użytku przez ponad rok. Te działania podkreślają pilną potrzebę zastosowania aktualizowania systemów w celu zabezpieczenia środowisk przed wykorzystywaniem słabości zero-day, zwłaszcza w przypadku tych, które mogą umożliwiać zdalne wykonanie kodu (RCE)

Podsumowanie

Analiza podatności zero-day zidentyfikowanych w styczniu 2024 r. podkreśla wyzwanie dla organizacji w zakresie zapewnienia bezpieczeństwa swoich systemów. Atakujący nadal wykorzystują te luki w celu wykradania danych, wprowadzania tylnych drzwi do infrastruktury sieciowej i osiągania innych celów związanych z cyberprzestępczością. Aby zabezpieczyć się przed tymi zagrożeniami, organizacje muszą aktualizować oprogramowanie, śledzić najnowsze alerty bezpieczeństwa stale doskonalić swoje praktyki bezpieczeństwa.

Pamiętaj, że bezpieczeństwo to proces ciągły, dlatego regularne monitorowanie, aktualizacje i audyty są kluczowe dla utrzymania ochrony witryny WordPress przed atakami hakerów.

Zapraszamy na nasze szkolenia w zakresie Zarządzania Bezpieczeństwem Informacji, które są dostępne na naszej stronie: https://provilogic.pl/oferta/

Proponujemy również dedykowane warsztaty i webinary. W ramach stałej współpracy oferujemy również coaching i mentoring, programy szkoleniowe skierowane do zidentyfikowanych grup odbiorców w organizacji, pomoc i wsparcie w opracowaniu ścieżek doskonalenia zawodowego i podnoszenia kompetencji.

Autor: Tomasz Szepelak

Ekspert z wieloletnim doświadczeniem w branży IT, posiadający obszerną wiedzę techniczną obejmującą Cyberbezpieczeństwo w środowiskach Windows i Linux, znajdowanie podatności na stronach internetowych oraz udzielanie zaleceń dotyczących zamykania znalezionych podatności. Jest odpowiedzialny za wsparcie użytkowników końcowych, instalację, wdrożenie i utrzymanie różnych komponentów LAN/WAN w środowisku korporacyjnym w strukturach firmy międzynarodowej. Uczestniczy w różnorodnych projektach, jako niezależny lider projektu, pracuje nad wdrożeniami nowych rozwiązań. Może pochwalić się również szeroką wiedzą w zakresie procesów IT i tytułem ITIL® Expert.