CVE-2023
CVE-2023 — это не единая уязвимость, а условное обозначение года в системе идентификации Common Vulnerabilities and Exposures (CVE). В данном контексте термин используется для обозначения совокупности всех уязвимостей, зарегистрированных и опубликованных в 2023 году в рамках данной системы. Каждая такая уязвимость получает уникальный идентификатор формата CVE-2023-XXXXX, где X — цифры. 2023 год стал рекордным по количеству зарегистрированных уязвимостей, превысив показатели всех предыдущих лет.
История и контекст
Система CVE была создана в 1999 году корпорацией MITRE (США) при поддержке Министерства внутренней безопасности США. Её цель — стандартизация наименований известных уязвимостей в программном и аппаратном обеспечении для упрощения обмена информацией между специалистами по информационной безопасности, разработчиками и организациями. Каждый идентификатор CVE присваивается уязвимости после её подтверждения и публикации.
К 2023 году система CVE стала общепринятым мировым стандартом. Рост числа уязвимостей в 2023 году объясняется несколькими факторами: усложнение программного обеспечения, увеличение количества атак на цепочки поставок, активное использование автоматизированных инструментов поиска уязвимостей (фаззинга, статического анализа), а также расширение сферы «баг-баунти» (программ вознаграждения за найденные уязвимости).
Ключевые характеристики и статистика
В 2023 году было зарегистрировано рекордное количество уязвимостей — более 29 000. Это примерно на 15-20% больше, чем в 2022 году, и почти в два раза больше, чем в 2020 году. Среднее количество уязвимостей в день превысило 80.
Распределение по уровню опасности (CVSS)
Каждая уязвимость оценивается по шкале Common Vulnerability Scoring System (CVSS) от 0 до 10. В 2023 году распределение было следующим:
| Уровень опасности | Баллы CVSS | Примерная доля от общего числа | Примечание |
|---|---|---|---|
| Критический | 9.0 – 10.0 | ~5% | Требуют немедленного исправления |
| Высокий | 7.0 – 8.9 | ~25% | Наиболее часто эксплуатируемые |
| Средний | 4.0 – 6.9 | ~50% | Основная масса уязвимостей |
| Низкий | 0.1 – 3.9 | ~20% | Редко эксплуатируются напрямую |
Наиболее уязвимые категории продуктов
По данным отчётов MITRE и Национального института стандартов и технологий США (NIST), в 2023 году наибольшее количество уязвимостей было обнаружено в следующих категориях:
- Программное обеспечение для управления контентом (CMS): WordPress, Joomla, Drupal.
- Операционные системы: Microsoft Windows, Linux (особенно ядро и драйверы), macOS.
- Веб-приложения и API: Уязвимости типа SQL-инъекций, XSS, SSRF.
- Сетевое оборудование: Маршрутизаторы, коммутаторы, межсетевые экраны (Cisco, Fortinet, Palo Alto Networks).
- Облачные сервисы и контейнеры: Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform, Docker, Kubernetes.
- Программное обеспечение для удалённого доступа: VPN-решения (Pulse Secure, Citrix, Ivanti).
Наиболее значимые уязвимости 2023 года
Некоторые уязвимости 2023 года получили широкую известность из-за массового использования в атаках, высокой критичности или воздействия на ключевую инфраструктуру.
CVE-2023-34362 (MOVEit Transfer)
Уязвимость типа SQL-инъекция в программном обеспечении для безопасной передачи файлов MOVEit Transfer от компании Progress Software. CVSS 9.8. Эксплуатировалась группировкой Clop (связана с киберпреступностью). Привела к компрометации данных сотен организаций по всему миру, включая государственные учреждения, банки и корпорации. Считается одной из самых масштабных атак на цепочку поставок в 2023 году.
CVE-2023-2868 (Barracuda ESG)
Уязвимость удалённого выполнения кода (RCE) в шлюзах электронной почты Barracuda Email Security Gateway (ESG). CVSS 9.4. Эксплуатировалась с 2022 года. Barracuda рекомендовала клиентам заменить скомпрометированные устройства, а не просто установить патч, что указывает на глубокую компрометацию.
CVE-2023-23397 (Microsoft Outlook)
Уязвимость повышения привилегий в Microsoft Outlook для Windows. CVSS 8.8. Эксплуатировалась в атаках российских хакерских групп (в частности, APT28, также известной как Fancy Bear). Позволяла злоумышленнику получить NTLM-хеш пароля жертвы при отправке специально сформированного письма, без необходимости взаимодействия пользователя.
CVE-2023-27997 (FortiOS)
Уязвимость переполнения буфера в межсетевых экранах FortiGate от Fortinet. CVSS 9.8. Позволяла удалённо выполнить код на устройстве. Массово эксплуатировалась после публикации PoC-эксплойта.
CVE-2023-46805 и CVE-2023-42793 (Ivanti)
Две уязвимости в продуктах Ivanti (ранее Pulse Secure) — обход аутентификации и удалённое выполнение кода. CVSS 9.0 и 9.8 соответственно. Использовались в атаках на государственные и военные структуры. Привели к массовой компрометации VPN-устройств.
Классификация по типам
Уязвимости 2023 года можно классифицировать по типам, которые чаще всего встречались в отчётах:
- Удалённое выполнение кода (RCE): Наиболее опасный тип, позволяющий злоумышленнику выполнить произвольные команды на целевой системе.
- SQL-инъекции (SQLi): Внедрение вредоносных SQL-запросов в поля ввода веб-приложений.
- Межсайтовый скриптинг (XSS): Внедрение скриптов в веб-страницы, просматриваемые другими пользователями.
- Повышение привилегий (Privilege Escalation): Получение доступа к ресурсам, недоступным для обычного пользователя.
- Обход аутентификации (Authentication Bypass): Возможность войти в систему без учётных данных.
- Отказ в обслуживании (DoS): Уязвимости, позволяющие нарушить работу сервиса.
Реакция и меры противодействия
В ответ на рекордное количество уязвимостей в 2023 году, организации и правительства усилили меры по управлению уязвимостями. Основные подходы включали:
- Управление патчами (Patch Management): Внедрение автоматизированных систем для своевременной установки обновлений безопасности.
- Управление поверхностью атаки (Attack Surface Management): Инвентаризация всех активов и выявление уязвимостей в них.
- Программы Bug Bounty: Расширение программ вознаграждения за поиск уязвимостей как для внешних, так и для внутренних исследователей.
- Принцип нулевого доверия (Zero Trust): Переход к архитектуре, где ни один запрос не считается доверенным по умолчанию.
- Регуляторное давление: Введение требований к отчётности об уязвимостях и инцидентах (например, директива NIS2 в ЕС, указы президента США).
Критика и ограничения
Система CVE, несмотря на свою распространённость, подвергается критике. Основные замечания:
- Неполнота: Регистрируются только подтверждённые уязвимости, о которых сообщили. Множество уязвимостей остаются нераскрытыми или не попадают в базу.
- Задержка в публикации: Между обнаружением уязвимости и присвоением CVE может пройти время, в течение которого она может активно эксплуатироваться.
- Отсутствие контекста: CVE-идентификатор сам по себе не даёт информации о том, насколько уязвимость критична для конкретной организации, и как её эксплуатировать.
- Дублирование и ошибки: Иногда одной уязвимости присваивается несколько CVE, или в описании допускаются неточности.
Источники
- MITRE Corporation. Common Vulnerabilities and Exposures (CVE) — официальная статистика и база данных за 2023 год.
- Национальный институт стандартов и технологий США (NIST). National Vulnerability Database (NVD) — статистика по CVSS и категориям продуктов.
- Отчёты компаний по кибербезопасности: Positive Technologies, Kaspersky, Group-IB, Recorded Future, Mandiant (Google) — анализ трендов уязвимостей 2023 года.
- Отчёты CISA (Агентство по кибербезопасности и защите инфраструктуры США) — перечень активно эксплуатируемых уязвимостей (KEV) за 2023 год.
- Публичные бюллетени безопасности производителей: Microsoft, Fortinet, Progress Software, Ivanti, Barracuda.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →