Количество серьезных и критических ошибок, обнаруженных в 2020 году, превышает общее количество уязвимостей, обнаруженных за 10 лет до этого.
Анализ данных, собранных Национальным институтом стандартов и технологий США (NIST) об общих уязвимостях и незащищенностях (CVE), показал, что в 2020 году было зафиксировано больше сообщений о лазейках в безопасности, чем за любой другой год до настоящего времени.
Отчет Redscan, поставщика управляемых услуг безопасности, показывает, что в прошлом году было зарегистрировано 18103 уязвимости, большинство из которых (10342) классифицированы как высокие или критические по степени серьезности. Фактически, количество серьезных и критических ошибок, обнаруженных в 2020 году, превысило общее количество уязвимостей, обнаруженных в 2010 году.
Среди основных выводов — всплеск уязвимостей в системе безопасности, не требующих вмешательства пользователя. На их долю приходилось 68% всех CVE, о которых сообщалось в NIST в 2020 году.
«Специалисты по безопасности должны быть обеспокоены тем фактом, что более двух третей уязвимостей, зарегистрированных в 2020 году, не требуют какого-либо взаимодействия с пользователем для использования. Злоумышленникам, использующим эти уязвимости, даже не нужно, чтобы их цели непреднамеренно совершили какое-либо действие, например щелкнули вредоносную ссылку в электронном письме. Это означает, что атаки могут легко остаться незамеченными», — предупредил Redscan.
Существует множество ярких примеров таких уязвимостей, в том числе критическая ошибка удаленного выполнения кода, индексированная как CVE-2020-5902, которая затронула многоцелевые сетевые устройства F5 Networks BIG-IP.
Доля лазеек в системе безопасности, не требующих каких-либо пользовательских привилегий, снизилась с 71% в 2016 году до 58% в 2020 году. Между тем, количество уязвимостей, требующих привилегий высокого уровня, растет. Это приводит к тому, что киберпреступники прилагают больше усилий, чтобы использовать проверенные временем классические атаки, такие как фишинг, при нацеливании на ценные марки.
«Пользователи с высокой степенью привилегий, такие как системные администраторы, являются главной целью, потому что они могут открыть больше дверей для злоумышленников», — пояснил Redscan.
Далее в отчете описываются другие аспекты уязвимостей, выходящие за рамки серьезности, которых людям следует опасаться. Было обнаружено, что около 4000 недостатков соответствуют так называемым «худшим из наихудших» условий — это CVE, которые имеют низкую сложность атаки, не требуют каких-либо привилегий или взаимодействия с пользователем и имеют высокую конфиденциальность.
Redscan завершает свои выводы в мрачной ноте, подчеркивая, что, хотя критические уязвимости и уязвимости высокой степени серьезности должны быть в центре внимания большую часть времени, группы безопасности «не должны упускать из виду уязвимости более низкого уровня».
«При анализе потенциального риска, который представляют собой уязвимости, организации должны учитывать не только их степень серьезности. Многие CVE никогда не используются или редко используются в реальном мире, потому что они слишком сложны или требуют от злоумышленников доступа к привилегиям высокого уровня. Недооценка уязвимостей с низким уровнем риска может сделать организации открытыми для «цепочки», когда злоумышленники переходят от одной уязвимости к другой, чтобы постепенно получать доступ на все более критических стадиях», — сказал Джордж Гласс, руководитель отдела аналитики угроз Redscan.
.jpg)