Уязвимости Java продолжают множиться

4,2 миллиона атак с использованием эксплойтов Java — именно столько отразила наша система автоматической блокировки эксплойтов (Automatic Exploit Prevention) в период с сентября 2012 года по август 2013-го. Эта цифра

4,2 миллиона атак с использованием эксплойтов Java — именно столько отразила наша система автоматической блокировки эксплойтов (Automatic Exploit Prevention) в период с сентября 2012 года по август 2013-го. Эта цифра указывает на две вещи: во-первых, разумеется, на эффективность нашей технологии, а во-вторых, увы, на то, что количество атак, направленных на Java, не только не уменьшается, но и наоборот растёт. В общей сложности различные продукты «Лаборатории» заблокировали порядка 14,1 млн атак с использованием эксплойтов к уязвимостям Java, что на треть больше, чем было в 2011-2012 годах.

Java, к сожалению, была и остаётся головной болью для всех, кто связан с обеспечением информационной безопасности.

В 2012 году 50% кибератак с использованием эксплойтов были направлены на уязвимости в Java.

Причин тому несколько. Во-первых, при всех своих недостатках, Java крайне популярна у разработчиков (по некоторым данным, их во всём мире насчитывается порядка 9 млн человеК), поскольку этот язык позволяет создавать платформо-независимые приложения: все они запускаются в виртуальных машинах Java.

В силу этого обстоятельства Java получила колоссальное распространение на всех пользовательских платформах — сегодня она так или иначе используется более чем на трёх миллиардах устройств во всём мире.

Есть и ещё одна причина: разработка Java начиналась давно, когда о распространённости вредоносного софта и особенно эксплойтов говорить не было особого смысла. А потому не было и смысла тратить время на обеспечение её безопасности.

Неудивительно, что по состоянию на прошлый год 50% атак с использованием эксплойтов были направлены именно на Java.

В целом же динамику количества атак с использованием эксплойтов демонстрирует вот этот график.

java_exploits

 

 

Если в середине 2012 года наблюдался некоторый спад, то дальше начался рост, который не прекращается и поныне. При этом два других «любимых» злоумышленниками формата — PDF и Flash — наоборот теряют «популярность».

Одной из причин роста количества атак стало и то, что как раз за период с сентября 2012 по август 2013 было обнаружено 160 новых уязвимостей, вдвое больше, чем в предшествовавшие 12 месяцев.

В недавнем исследовании «Лаборатории Касперского», посвящённом эволюции Java-эксплойтов, указывается, что особый рост (+21%) числа атак пришёлся на период с марта по август 2013 года. 80% атак пришлись на 10 стран. Этот список возглавляют США, Россия, Германия и Италия.

Более чем в половине случае атак использовались эксплойт, относящиеся к шести широко известным группам. Иными словами, нельзя сказать, чтобы злоумышленники стремились к особому разнообразию своих инструментов.

Что все эти пугающие показатели значат для бизнеса? — В первую очередь, необходимо понимать, что уязвимоси в Java злоумышленники ищут целенаправленно, так что использование приложений, написанных на этом языке, небезопасно само по себе. Это не значит, что их все надо немедленно удалить, но на контроле держать — необходимо.

Во-вторых, статистика показывает, что Java является не только самым часто атакуемым пакетом, но ещё и одним из самых неохотно обновляемых: в среднем, даже спустя полтора месяца после выхода очередной новой версии с исправлениями прежних ошибок, большинство пользователей не торопятся обновлять Java на своих устройствах. И если в корпоративной инфраструктуре системные администраторы могут обновить Java централизованно, то с пользовательскими устройствами всё может быть несколько сложнее.

Эксплойты, к сожалению, представляют угрозу даже в тех случаях, когда пользователи хорошо разбираются в IT, осознают опасность вредоносного софта и обновляют софт сразу после выхода новых версий.

Дело в том, что эксплойты «нулевого дня» для новых уязвимостях появляются ещё до того, как разработчик (в данном случае, Oracle) узнают о существовании этих брешей. Хакеры и разработчики действуют наперегонки, но разработчики постоянно оказываются в положении «догоняющих». Ну, а пользователи остаются под угрозой всё то время, которое проходит с момента обнаружения уязвимости, и до выхода обновлений.

Ну, а подвергнуться атаке, в общем-то, очень просто: достаточно зайти на какой-нибудь легитимный сайт, в который злоумышленники накануне встроили вредоносный код. Самый надёжный способ защититься от эксплойтов — использование автоматических средств, которые будут блокировать их деятельность в профилактическом режиме.

Наша технология Automatic Exploit Prevention — как раз такой инструмент. Несмотря на всё разнообразие существующих эксплойтов, у них у всех есть ряд сходных черт. Помимо того, что они всегда пишутся для конкретных программных пакетов, для эксплойтов также типичны определённые модели поведения, характерным образом начинает вести себя и атакуемый софт. Поэтому в отношении наиболее уязвимых пакетов и платформ — в том числе и Java — технология AEP задействует режим «презумпциии виновности»: если они пытаются скачать и запустить какой-либо исполняемый файл, это становится поводом для дополнительных проверок, в том числе отслеживания источника команды на запуск и проверки происхождения самого загружаемого файла. Если файл по сумме его характеристик вызывает подозрения, то его запуск автоматически блокируется.

Хороший пример: в начале января был обнаружен эксплойт нулевого дня для уязвимости в Java CVE 2013-0422. Эксплойт оказался чрезвычайно эффективным — 83% успешных атак. Дошло до того, что специалисты подразделения по противодействию киберугрозам министерства национальной безопасности США порекомендовали пользователям вообще отключить надстройку Java в веб-браузерах, чтобы обезопаситься от атак злоумышленников, которые используют эту ранее неизвестную уязвимость в платформе.

При этом, из статистики Kaspersky Security Network следует, что у пользователей продуктов «Лаборатории Касперского» технология АЕР успешно блокировала этот эксплойт  — на основе поведенческого анализа — еще до того, как инцидент получил публичную огласку.

Советы