piatok 5. apríla 2024

Trend: Rast softvérových zraniteľností

Podľa Ethical Hacking Report 2023 bolo v minulom roku odhalených 2 795 zraniteľností rôznej závažnosti v 384 projektoch realizovaných naprieč rôznymi priemyslovými odvetviami. Etickí hekeri priemerne odhalili v každom projekte viac než 7 zraniteľností, ktoré sa delia do štyroch kategórií podľa miery závažnosti. Kritických, teda tých s najvyššou mierou rizika zneužitia, bolo doteraz najviac 192.

Zraniteľnosti zvyčajne vedú napríklad k Remote Code Execution – vzdialenému spusteniu škodlivého kódu, eskalácii privilégií alebo dosiahnutiu hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem, získaniu role doménového administrátora, s ktorého oprávneniami preberá útočník kontrolu nad celou sieťou. Pre weby predstavuje vysoké riziko zraniteľnosť „SQL injection“. Útočník v tomto prípade využíva bezpečnostné nedostatky k preniknutiu do databázovej vrstvy webovej aplikácie prostredníctvom vloženia vlastného SQL príkazu. SQL je programovací jazyk, ktorý umožňuje pracovať s dátami v relačných databázach, ktoré často obsahujú citlivé informácie, akými sú prístupové údaje používateľov. Najčastejšie dochádza k takémuto útoku prostredníctvom neošetrených vstupných formulárov. Útočník môže do takto nezabezpečeného prihlasovacieho formulára v internetovom obchode vložiť SQL príkaz, ktorý mu umožní voľne zapisovať do databázy. Inými slovami, útočník má možnosť manipulovať s dátami, ktoré sú v databáze uložené, čo môže vážne ovplyvniť chod a prevádzku aplikácie, jej serveru a zaobchádzanie s citlivými údajmi užívateľov.

Experti z Citadelo sa zamerali tiež na preverovanie ľudského faktoru, na ktorý najčastejšie mieria vektory útoku hekerov využívajúce metódy sociálneho inžinierstva, ako vishing, phishing a smishing. Tie sú vysoko rizikové ako pre jednotlivcov, taktiež pre firmy v ktorých pracujú. Efektivitu týchto útokov dokumentujú aj interné nezverejnené štatistiky spoločnosti. Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím týchto techník, je až 40 %. Znamená to, že takmer každá druhá obeť v novo testovaných spoločnostiach podľahla nástrahám etických hekerov. Veľký počet nájdených zraniteľností poukazuje na nevyhnutnosť komplexného penetračného testovania a posudzovania bezpečnosti. Predovšetkým v dnešnej dobe, kedy sa početnosť a sofistikovanosť kybernetických útokov neustále zvyšuje a stále viac mieria na komerčný priemyselný sektor, telekomunikácie a dopravu. Potvrdzujú to aj


nároky novej európskej legislatívy DORA a NIS2.