Veškeré počítačové programy se opírají o správnou funkčnost kódu, avšak chyby v programování mohou vést ke zranitelnostem softwaru. Některé z těchto chyb způsobily rozsáhlou paniku a měly hrozivé následky, které otřásly celým světem kybernetické bezpečnosti.
Jaké softwarové zranitelnosti jsou tedy ty největší a nejnebezpečnější?
1. Log4Shell
Softwarová zranitelnost Log4Shell se objevila v Apache Log4j, oblíbeném logovacím frameworku pro Javu, který používají desítky milionů uživatelů po celém světě.
V listopadu 2021 objevil Chen Zhaojun, člen týmu Alibaba Cloud Security Team, kritickou chybu v kódu. Zhaojun si této chyby poprvé všiml na serverech hry Minecraft.
Tato chyba, oficiálně označená jako CVE-2021-44228, se stala známou pod názvem Log4Shell.
Bezpečnostní chyba Log4Shell je zranitelností nultého dne, což znamená, že jí zneužili škodliví aktéři ještě předtím, než si jí všimli odborníci na kybernetickou bezpečnost. Díky tomu mohli hackeři vzdáleně spouštět kód. Mohli tak do Log4j instalovat škodlivý kód, který umožňoval krádež dat, špehování a šíření malwaru.
Ačkoliv byla záplata pro zranitelnost Log4Shell vydána krátce po jejím objevení, tato bezpečnostní chyba rozhodně není minulostí.
Kyberzločinci stále využívají Log4Shell ve svých útocích, i když záplata výrazně snížila úroveň hrozby. Podle Rezilion, šokujících 26 procent veřejných serverů Minecraft je stále zranitelných vůči Log4Shell.
Pokud společnost nebo jednotlivec neaktualizovali svůj software, zranitelnost Log4Shell pravděpodobně stále přetrvává a útočníkům tak poskytuje otevřené dveře.
2. EternalBlue
EternalBlue (oficiálně známá jako MS17-010) je softwarová zranitelnost, která začala vyvolávat rozruch v dubnu 2017. Zarážející na této zranitelnosti je, že ji částečně vyvinula NSA, významná americká zpravodajská agentura známá svou pomocí Ministerstvu obrany USA ve vojenských záležitostech.
NSA objevila zranitelnost EternalBlue v produktech Microsoft, i když si Microsoft uvědomil tuto chybu až o pět let později. NSA pracovala na EternalBlue jako na možné kybernetické zbrani a bylo zapotřebí hackerského útoku, aby se o ní dozvěděl svět.
V roce 2017 hackerská skupina známá jako Shadow Brokers odhalila existenci EternalBlue po digitálním proniknutí do NSA. Ukázalo se, že tato chyba poskytovala NSA tajný přístup zadními vrátky k řadě zařízení s Windows, včetně těch se systémy Windows 7, Windows 8 a často kritizovaným Windows Vista. Jinými slovy, NSA mohla přistupovat k milionům zařízení bez vědomí uživatelů.
Přestože existuje oprava pro EternalBlue, nedostatek informovanosti společnosti Microsoft a veřejnosti o této chybě způsobil, že zařízení byla po léta zranitelná.
3. Heartbleed
Bezpečnostní chyba Heartbleed byla oficiálně objevena v roce 2014, i když v knihovně kódu OpenSSL existovala už dva roky předtím. Některé starší verze knihovny OpenSSL obsahovaly Heartbleed, který byl po objevení považován za velmi závažný problém.
Heartbleed, oficiálně známý jako CVE-2014-0160, byl kritický problém kvůli svému umístění v OpenSSL. Vzhledem k tomu, že OpenSSL bylo používáno jako šifrovací vrstva SSL mezi databázemi webových stránek a koncovými uživateli, bylo možné prostřednictvím chyby Heartbleed získat přístup k mnoha citlivým datům.
Během tohoto komunikačního procesu však existovalo ještě další spojení, které nebylo šifrováno, jakási základní vrstva, která zajišťovala, že oba počítače v konverzaci jsou aktivní.
Hackeři našli způsob, jak využít tuto nešifrovanou komunikační linku k získání citlivých dat z dříve zabezpečeného počítače. Útočník by v podstatě zahltil systém požadavky v naději, že získá nějaké cenné informace.
Heartbleed byl opraven ve stejném měsíci, kdy byl oficiálně objeven, ale starší verze OpenSSL mohou být stále náchylné k této chybě.
4. Dvojité zabití
Double Kill (nebo CVE-2018-8174) byla kritická zero-day zranitelnost, která ohrožovala systémy Windows. Tato chyba, objevená v roce 2018, se dostala do titulků zpráv o kybernetické bezpečnosti kvůli své přítomnosti ve všech operačních systémech Windows počínaje verzí 7.
Double Kill se nachází v prohlížeči Windows Internet Explorer a zneužívá chybu ve skriptovacím jazyce VB. Metoda útoku zahrnuje použití škodlivé webové stránky Internet Exploreru, která obsahuje kód potřebný k zneužití zranitelnosti.
Double Kill má potenciál dát útočníkům stejná systémová oprávnění jako původní autorizovaný uživatel, pokud je správně zneužit. V takových scénářích mohou útočníci dokonce získat úplnou kontrolu nad zařízením s Windows.
V květnu 2018 vydala společnost Windows opravu pro Double Kill.
5. CVE-2022-0609
CVE-2022-0609 je další závažná softwarová zranitelnost, která byla objevena v roce 2022. Chyba založená na prohlížeči Chrome se ukázala jako zero-day zranitelnost, kterou útočníci aktivně zneužívali.
Tato bezpečnostní chyba mohla ovlivnit všechny uživatele prohlížeče Chrome, a proto je její úroveň závažnosti tak vysoká. CVE-2022-0609 je tzv. chyba „use-after-free“, což znamená, že má schopnost měnit data a spouštět kód na dálku.
Netrvalo dlouho a společnost Google vydala opravu pro CVE-2022-0609 v aktualizaci prohlížeče Chrome.
6. BlueKeep
V květnu 2019 objevil Kevin Beaumont, odborník na kybernetickou bezpečnost, kritickou softwarovou chybu známou jako BlueKeep. Tuto chybu lze nalézt v protokolu Microsoft Remote Desktop Protocol, který se používá pro vzdálenou diagnostiku systémových problémů a také umožňuje uživatelům vzdálený přístup k jejich pracovní ploše z jiného zařízení.
BlueKeep, oficiálně známý jako CVE-2019-0708, je bezpečnostní chyba umožňující vzdálené spuštění kódu, což znamená, že ji lze použít ke vzdálenému spuštění kódu na cílovém zařízení. Důkaz konceptů, který vyvinula společnost Microsoft, ukázal, že cílené počítače mohly být napadeny a ovládnuty útočníky za méně než minutu, což zdůraznilo závažnost této chyby.
Jakmile je zařízení kompromitováno, útočník může vzdáleně spouštět kód na pracovní ploše uživatele.
Výhodou BlueKeep je, že ovlivňuje pouze starší verze Windows, včetně:
- Windows Vista.
- Windows XP.
- Windows Server 2003.
- Windows Server 2008.
- Windows Server 2008 R2.
- Windows 7.
Pokud vaše zařízení používá jakýkoliv operační systém Windows novější než výše uvedené, pravděpodobně si s BlueKeep nemusíte dělat starosti.
7. ZeroLogon
ZeroLogon, neboli CVE-2020-1472, jak je oficiálně známo, je bezpečnostní chyba softwaru společnosti Microsoft objevená v srpnu 2020. Systém Common Vulnerability Scoring System (CVSS) přidělil této chybě hodnocení 10 z 10 na stupnici závažnosti, což ji činí velmi nebezpečnou.
Tato chyba může zneužít prostředek služby Active Directory, který se obvykle nachází na podnikových serverech Windows. Oficiálně se tento prostředek nazývá Active Directory Netlogon Remote Protocol.
ZeroLogon vystavuje uživatele riziku, protože má potenciál měnit citlivé údaje o účtu, včetně hesel. Tato chyba zneužívá metodu ověřování, takže k účtům lze přistupovat bez ověření identity.
Ve stejném měsíci, kdy byla objevena, společnost Microsoft vydala dvě opravy pro ZeroLogon.
Chyby zabezpečení softwaru jsou znepokojivě běžné
Spoléháme se na software natolik, že je přirozené, že se objevují chyby a nedostatky. Nicméně, některé z těchto chyb v kódování mohou vést k vysoce zneužitelným bezpečnostním zranitelnostem, což ohrožuje jak poskytovatele, tak i uživatele.