Открыть сервис

CVE-2023

CVE-2023 — это не единая уязвимость, а условное обозначение года в системе идентификации Common Vulnerabilities and Exposures (CVE). В данном контексте термин используется для обозначения совокупности всех уязвимостей, зарегистрированных и опубликованных в 2023 году в рамках данной системы. Каждая такая уязвимость получает уникальный идентификатор формата CVE-2023-XXXXX, где X — цифры. 2023 год стал рекордным по количеству зарегистрированных уязвимостей, превысив показатели всех предыдущих лет.

История и контекст

Система CVE была создана в 1999 году корпорацией MITRE (США) при поддержке Министерства внутренней безопасности США. Её цель — стандартизация наименований известных уязвимостей в программном и аппаратном обеспечении для упрощения обмена информацией между специалистами по информационной безопасности, разработчиками и организациями. Каждый идентификатор CVE присваивается уязвимости после её подтверждения и публикации.

К 2023 году система CVE стала общепринятым мировым стандартом. Рост числа уязвимостей в 2023 году объясняется несколькими факторами: усложнение программного обеспечения, увеличение количества атак на цепочки поставок, активное использование автоматизированных инструментов поиска уязвимостей (фаззинга, статического анализа), а также расширение сферы «баг-баунти» (программ вознаграждения за найденные уязвимости).

Ключевые характеристики и статистика

В 2023 году было зарегистрировано рекордное количество уязвимостей — более 29 000. Это примерно на 15-20% больше, чем в 2022 году, и почти в два раза больше, чем в 2020 году. Среднее количество уязвимостей в день превысило 80.

Распределение по уровню опасности (CVSS)

Каждая уязвимость оценивается по шкале Common Vulnerability Scoring System (CVSS) от 0 до 10. В 2023 году распределение было следующим:

Уровень опасностиБаллы CVSSПримерная доля от общего числаПримечание
Критический9.0 – 10.0~5%Требуют немедленного исправления
Высокий7.0 – 8.9~25%Наиболее часто эксплуатируемые
Средний4.0 – 6.9~50%Основная масса уязвимостей
Низкий0.1 – 3.9~20%Редко эксплуатируются напрямую

Наиболее уязвимые категории продуктов

По данным отчётов MITRE и Национального института стандартов и технологий США (NIST), в 2023 году наибольшее количество уязвимостей было обнаружено в следующих категориях:

Наиболее значимые уязвимости 2023 года

Некоторые уязвимости 2023 года получили широкую известность из-за массового использования в атаках, высокой критичности или воздействия на ключевую инфраструктуру.

CVE-2023-34362 (MOVEit Transfer)

Уязвимость типа SQL-инъекция в программном обеспечении для безопасной передачи файлов MOVEit Transfer от компании Progress Software. CVSS 9.8. Эксплуатировалась группировкой Clop (связана с киберпреступностью). Привела к компрометации данных сотен организаций по всему миру, включая государственные учреждения, банки и корпорации. Считается одной из самых масштабных атак на цепочку поставок в 2023 году.

CVE-2023-2868 (Barracuda ESG)

Уязвимость удалённого выполнения кода (RCE) в шлюзах электронной почты Barracuda Email Security Gateway (ESG). CVSS 9.4. Эксплуатировалась с 2022 года. Barracuda рекомендовала клиентам заменить скомпрометированные устройства, а не просто установить патч, что указывает на глубокую компрометацию.

CVE-2023-23397 (Microsoft Outlook)

Уязвимость повышения привилегий в Microsoft Outlook для Windows. CVSS 8.8. Эксплуатировалась в атаках российских хакерских групп (в частности, APT28, также известной как Fancy Bear). Позволяла злоумышленнику получить NTLM-хеш пароля жертвы при отправке специально сформированного письма, без необходимости взаимодействия пользователя.

CVE-2023-27997 (FortiOS)

Уязвимость переполнения буфера в межсетевых экранах FortiGate от Fortinet. CVSS 9.8. Позволяла удалённо выполнить код на устройстве. Массово эксплуатировалась после публикации PoC-эксплойта.

CVE-2023-46805 и CVE-2023-42793 (Ivanti)

Две уязвимости в продуктах Ivanti (ранее Pulse Secure) — обход аутентификации и удалённое выполнение кода. CVSS 9.0 и 9.8 соответственно. Использовались в атаках на государственные и военные структуры. Привели к массовой компрометации VPN-устройств.

Классификация по типам

Уязвимости 2023 года можно классифицировать по типам, которые чаще всего встречались в отчётах:

  • Удалённое выполнение кода (RCE): Наиболее опасный тип, позволяющий злоумышленнику выполнить произвольные команды на целевой системе.
  • SQL-инъекции (SQLi): Внедрение вредоносных SQL-запросов в поля ввода веб-приложений.
  • Межсайтовый скриптинг (XSS): Внедрение скриптов в веб-страницы, просматриваемые другими пользователями.
  • Повышение привилегий (Privilege Escalation): Получение доступа к ресурсам, недоступным для обычного пользователя.
  • Обход аутентификации (Authentication Bypass): Возможность войти в систему без учётных данных.
  • Отказ в обслуживании (DoS): Уязвимости, позволяющие нарушить работу сервиса.

Реакция и меры противодействия

В ответ на рекордное количество уязвимостей в 2023 году, организации и правительства усилили меры по управлению уязвимостями. Основные подходы включали:

  • Управление патчами (Patch Management): Внедрение автоматизированных систем для своевременной установки обновлений безопасности.
  • Управление поверхностью атаки (Attack Surface Management): Инвентаризация всех активов и выявление уязвимостей в них.
  • Программы Bug Bounty: Расширение программ вознаграждения за поиск уязвимостей как для внешних, так и для внутренних исследователей.
  • Принцип нулевого доверия (Zero Trust): Переход к архитектуре, где ни один запрос не считается доверенным по умолчанию.
  • Регуляторное давление: Введение требований к отчётности об уязвимостях и инцидентах (например, директива NIS2 в ЕС, указы президента США).

Критика и ограничения

Система CVE, несмотря на свою распространённость, подвергается критике. Основные замечания:

  • Неполнота: Регистрируются только подтверждённые уязвимости, о которых сообщили. Множество уязвимостей остаются нераскрытыми или не попадают в базу.
  • Задержка в публикации: Между обнаружением уязвимости и присвоением CVE может пройти время, в течение которого она может активно эксплуатироваться.
  • Отсутствие контекста: CVE-идентификатор сам по себе не даёт информации о том, насколько уязвимость критична для конкретной организации, и как её эксплуатировать.
  • Дублирование и ошибки: Иногда одной уязвимости присваивается несколько CVE, или в описании допускаются неточности.

Источники

  1. MITRE Corporation. Common Vulnerabilities and Exposures (CVE) — официальная статистика и база данных за 2023 год.
  2. Национальный институт стандартов и технологий США (NIST). National Vulnerability Database (NVD) — статистика по CVSS и категориям продуктов.
  3. Отчёты компаний по кибербезопасности: Positive Technologies, Kaspersky, Group-IB, Recorded Future, Mandiant (Google) — анализ трендов уязвимостей 2023 года.
  4. Отчёты CISA (Агентство по кибербезопасности и защите инфраструктуры США) — перечень активно эксплуатируемых уязвимостей (KEV) за 2023 год.
  5. Публичные бюллетени безопасности производителей: Microsoft, Fortinet, Progress Software, Ivanti, Barracuda.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →