1 апреля 2015

Воспоминания о старом баге: четырехлетней давности патч Adobe оказался неполным

Бизнес

Четыре года назад выпущенный патч для Flash должным образом не исправил уязвимое приложение Flex, и злоумышленники по-прежнему могут использовать баг, который, говорят, затрагивает до 30 процентов из десятки самых популярных в мире сайтов и угрожает бизнесу компаний-владельцев этих сайтов.

По словам исследователей, сообщивших о проблеме, файлы Shockwave Flash, скомпилированные уязвимым программным пакетом Flex, остаются эксплуатируемыми в полностью обновленных веб-браузерах и Flash-плагинах.

Flex

Flex (ранее Adobe Flex, теперь Apache Flex), представляет собой SDK для разработки и развертывания кросс-платформенных многофункциональных интернет-приложений на базе платформы Adobe Flash.

Изначально он был разработан в Macromedia, а после приобретен компанией Adobe Systems. В 2011 году Adobe передала Flex в Apache Software Foundation. Последняя версия от Adobe значится под номером 4.6.0; текущая версия — 4.14, выпущенная Apache 28 января 2015 года.

Лука Кареттони – специалист по безопасности из LinkedIn, он является одним из авторов исследования уязвимости Flex. Дав ограниченное описание, они попытались смягчить возможные последствия, так что полный отчёт ещё последует.

Adobe утверждает, что выпустила инструмент исправления проблемы в приложении Flex ещё в 2011 году.

Суть ошибки

Речь идёт об уязвимости CVE-2011-2461. Если её правильно эксплуатировать, ошибка может позволить злоумышленнику украсть информацию из уязвимых систем путем всё той же подделки источника запроса и даже выполнять действия от имени пользователей уязвимых версий посредством межсайтовой подделки запроса. В любом случае, нападавшие должны заставить свои жертвы посетить заготовленную вредоносную веб-страницу.

Другими словами, исследователи утверждают, что хостинг уязвимых файлов SWF ведёт к «косвенному» обходу принципа одинакового источника в полностью пропатченных веб-браузерах и плагинах.

На практике это означает, что, по мнению исследователей, можно заставить уязвимые ролики Flash выполнять запросы одинакового источника и возвращать ответы обратно злоумышленнику. А так как HTTP-запросы содержат куки и исходят с домена жертвы, ответы HTTP могут содержать конфиденциальную информацию, включая жетоны от CSRF и данные пользователя. Что преступникам как раз и надо.

Потенциальные меры по снижению риска включают перекомпиляцию SDK Flex вместе с их статическими библиотеками, установку патча при помощи официального инструмента исправлений Adobe, выпущенного еще в 2011 году, и просто удаление в случае ненадобности.

wide

Не первый раз

Это точно не первый раз, когда какая-нибудь серьезная уязвимость оказывается недоисправленной. В начале этого месяца стало известно, что пятилетней давности патч для уязвимости CVE-2010-2568, которую эксплуатирует Stuxnet, был неполным, и машины оставались уязвимыми с 2010 года. Об эксплойтах пропатченных машин широкой публике ничего не известно, но риска подобного это не отменяет.

В прошлом году мы все наблюдали драму в двух актах под названием «патч Shellshock»: первые попытки исправить страшную брешь оказались неудачными, поэтому в конечном итоге получилось целых четыре записи CVE, касающихся одной и той же проблемы.

Неверные и неполные патчи особенно опасны. Первоначальное обновление привлекает много внимания, и как только оно выходит, велика вероятность того, что множество ИТ-специалистов принимают меры немедленно (или, по крайней мере, в разумные сроки). А после этого все считают, что они уже в безопасности.

Но если патч оказывается неполным и сам требует исправления, шансы на немедленные действия уменьшаются. Не все сразу узнают о неполноценности исправления, а тот, кто узнает, может подумать: «Кто знает, сколько ещё патчей потребуется, давайте подождем, пока не выйдет окончательное обновление, которое работает». Таким образом, системы могут оставаться уязвимыми и атакуемыми в течение более длительного периода, чем следовало бы.

В конце концов, установка обновление — нечто вроде азартной игры. Крайне важно поддерживать ПО в актуальном состоянии и знать обо всех серьезных уязвимостях, которые могут угрожать вашей сети и программному обеспечению, но это ещё не гарантирует безопасность само по себе. Если у вас нет настроенной многослойной защиты, которая может справиться даже с ещё неизвестными угрозами, ваша защита далека от безупречной.