У першій половині 1 року Zero Day Initiative опублікувала понад 2023 звітів про вразливості. Серед уразливостей є критичні Microsoft zero-days. Ініціатор ініціативи Zero Day Initiative Trend Micro попереджає про дедалі більше несправних або неповних патчів.
Trend Micro, один із провідних світових постачальників рішень для кібербезпеки, оголошує, що його Zero Day Initiative (ZDI) цього року вже опублікував понад 1.000 рекомендацій щодо окремих вразливостей в ІТ-продуктах. На цьому тлі компанія попереджає, що помилкові або неповні патчі публікуються все частіше і частіше, або що постраждалі виробники таємно розгортають їх.
Безшумне виправлення приховує вразливості
Trend Micro виступає за припинення «тихого виправлення» — практики, яка затримує або применшує розкриття та документування вразливостей і виправлень. Будучи однією з найбільших перешкод у боротьбі з кіберзлочинністю, цей метод особливо поширений серед великих постачальників і хмарних провайдерів.
«Ініціатива «Нульовий день» була заснована для усунення вразливостей до того, як ними скористаються кіберзлочинці. Необхідність таких заходів ще більше підкреслюється в Європейському Союзі новою директивою NIS2», — пояснює Річард Вернер, бізнес-консультант Trend Micro. «Однак ми спостерігаємо тривожну тенденцію відсутності прозорості в розкритті вразливостей, пов’язаних з патчами постачальників. Це створює загрозу ІТ-безпеці цифрового світу, оскільки позбавляє клієнтів можливості вживати власних подальших заходів».
Багато хмарних провайдерів покладаються на тихе встановлення виправлень
На конференції з безпеки Black Hat USA 2023 представники Trend Research показали, що тихе встановлення виправлень особливо поширене серед хмарних провайдерів. Вони все частіше утримуються від призначення ідентифікатора загальних вразливостей і експозицій (CVE), який дає змогу відстежувати документацію, і замість цього випускають виправлення в закритих процесах. Відсутність прозорості або номерів версій хмарних служб ускладнює оцінку ризиків і позбавляє спільноту безпеки цінної інформації для підвищення безпеки в екосистемі.
Ще минулого року Trend Micro попередила про зростаючу кількість неповних або неправильних патчів і зростаюче небажання з боку постачальників надавати достовірну інформацію про патчі простою мовою. Тим часом ця тенденція посилилася, і деякі компанії взагалі нехтують виправленнями. У результаті їхні клієнти та цілі галузі наражаються на ризики, яких можна уникнути та дедалі зростаючі. Таким чином, існує нагальна потреба в діях, щоб визначити пріоритетність виправлень, усунути вразливості та заохотити співпрацю між дослідниками, постачальниками кібербезпеки та провайдерами хмарних послуг, щоб посилити хмарні служби та захистити користувачів від потенційних ризиків.
Понад 1.000 вразливостей у списку 2023 року
За допомогою програми ZDI Trend Micro прагне прозоро виправляти вразливості та покращувати безпеку в усій галузі. У рамках цього зобов’язання Zero Day Initiative нещодавно опублікувала повідомлення про кілька вразливостей нульового дня. Один Повний список порад щодо вразливості, опублікований Trend Micro Zero Day Initiative (ZDI), доступний англійською мовою на сайті ініціативи. Ось уривок уразливостей зі значенням CVSS 9.9 або 9.8. Список на веб-сайті Zero Day Initiative містить понад 1.000 інших вразливостей зі значенням CVSS від 9.1 до 2.5.
Витяг із 39 уразливостей у CVSS 9.9 і 9.8
| ID ЗДІ | ПОСТРАЖДАЛИ ПОСТАВЧИК(И) | CVE | CVSS версії 3.0 |
| ЗДІ-23-1044 | Microsoft | 9.9 | |
| ЗДІ-23-055 | VMware | CVE-2022-31702 | 9.8 |
| ЗДІ-23-093 | Кактуси | CVE-2022-46169 | 9.8 |
| ЗДІ-23-094 | Нетаталк | CVE-2022-43634 | 9.8 |
| ЗДІ-23-115 | VMware | CVE-2022-31706 | 9.8 |
| ЗДІ-23-118 | оракул | CVE-2023-21838 | 9.8 |
| ЗДІ-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
| ЗДІ-23-175 | оракул | CVE-2023-21890 | 9.8 |
| ЗДІ-23-228 | Іванті | CVE-2022-44574 | 9.8 |
| ЗДІ-23-233 | Зріз | CVE-2023-27350 | 9.8 |
| ЗДІ-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
| ЗДІ-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
| ЗДІ-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
| ЗДІ-23-482 | VMware | CVE-2023-20864 | 9.8 |
| ЗДІ-23-490 | KeySight | CVE-2023-1967 | 9.8 |
| ЗДІ-23-587 | Компанія Trend Micro | CVE-2023-32523 | 9.8 |
| ЗДІ-23-588 | Компанія Trend Micro | CVE-2023-32524 | 9.8 |
| ЗДІ-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
| ЗДІ-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
| ЗДІ-23-672 | DeltaElectronics | CVE-2023-1133 | 9.8 |
| ЗДІ-23-674 | DeltaElectronics | CVE-2023-1140 | 9.8 |
| ЗДІ-23-679 | DeltaElectronics | CVE-2023-1136 | 9.8 |
| ЗДІ-23-680 | DeltaElectronics | CVE-2023-1139 | 9.8 |
| ЗДІ-23-681 | DeltaElectronics | CVE-2023-1145 | 9.8 |
| ЗДІ-23-683 | DeltaElectronics | CVE-2023-1133 | 9.8 |
| ЗДІ-23-687 | Канонічний | 9.8 | |
| ЗДІ-23-690 | Канонічний | 9.8 | |
| ЗДІ-23-702 | Linux | CVE-2023-32254 | 9.8 |
| ЗДІ-23-714 | D-Link | CVE-2023-32169 | 9.8 |
| ЗДІ-23-716 | D-Link | CVE-2023-32165 | 9.8 |
| ЗДІ-23-720 | Moxa | CVE-2023-33236 | 9.8 |
| ЗДІ-23-840 | VMware | CVE-2023-20887 | 9.8 |
| ЗДІ-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
| ЗДІ-23-897 | Програмне забезпечення Progress | CVE-2023-36934 | 9.8 |
| ЗДІ-23-906 | DeltaElectronics | CVE-2023-34347 | 9.8 |
| ЗДІ-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
| ЗДІ-23-1025 | Трикутник MicroWorks | CVE-2023-39457 | 9.8 |
| ЗДІ-23-1046 | Індуктивна автоматизація | CVE-2023-39476 | 9.8 |
| ЗДІ-23-1047 | Індуктивна автоматизація | CVE-2023-39475 | 9.8 |
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.