Целевые кибератаки на уязвимости IoT и маршрутизаторов удвоились с мая

В отчете Global Threat Index компании Check Point Software Technologies за июль отмечается значительное увеличение эксплойтов, направленных на три основные уязвимости Интернета вещей. С мая количество атак, связанных с распространением в IoT вредоносных программ, таких как Mirai, IoTroop/Reaper и VPNFilter, увеличилось более чем вдвое.

В течение июля три IoT-уязвимости вошли в рейтинг 10 наиболее часто эксплуатируемых: удаленное выполнение кодов MVPower DVR маршрутизатора на 5-м месте; удаленное выполнение команд маршрутизатора D-Link DSL-2750B на 7-м месте; обход аутентификации маршрутизатора Danan GPON A на 10-м месте. В общей сложности в июле 45% организаций во всем мире подверглись атакам на эти уязвимости, в июне – атаки на них ощутили 35% компаний, в мае – 21%. Все эти уязвимости позволяют злоумышленникам выполнить вредоносный код и получить удаленный контроль над требуемыми устройствами.

Для защиты от известных и неизвестных уязвимостей организациям необходимо разворачивать многоуровневую стратегию кибербезопасности, которая защищает как от кибератак известных семейств вредоносного ПО, так и от новых угроз.

Статус самого распространенного вредоносного ПО в июле сохранил криптомайнер Coinhive, он атаковал 19% организаций во всем мире. Cryptoloot и Dorkbot оказались на втором и третьем местах рейтинга соответственно, каждый из вредоносов атаковал 7% организаций в мире.

Lokibot, банковский троян и похититель данных с устройств на платформе Android, стал самой активной вредоносной программой для атак на мобильные устройства организаций. Следом за ним в рейтинге расположились Triada и Guerilla.

Топ-3 самых эксплуатируемых уязвимостей в июле:

1. (47%) Переполнение буфера IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) Microsoft. Отправляя созданный запрос по сети на сервер Microsoft Windows Server 2003 R2 через службы Microsoft Internet Information Services 6.0, удаленный злоумышленник может выполнить произвольный код или вызвать отказ условий обслуживания на целевом сервере. Главным образом это связано с уязвимостью переполнения буфера, вызванной ненадлежащей проверкой длинного заголовка в HTTP-запросе.
2. (47%) Контентное удаленное выполнение кода в Apache Struts2 (CVE-2017-5638). В Apache Struts2 существует уязвимость удаленного выполнения кода с использованием многокомпонентного парсера Jakarta. Злоумышленник может воспользоваться этой уязвимостью, отправив недействительный тип содержимого в качестве части запроса на загрузку файла. Успешное использование может привести к выполнению произвольного кода в зараженной системе.
3. (41%) Программа для утечки информации OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346). В пакете OpenSSL есть уязвимость, связанная с утечкой информации. Она возникает из-за ошибки при обработке heartbeat-пакетов TLS/DTLS. Злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.