وضعیت آسیب پذیری‌های 2022

وضعیت آسیب پذیری‌های 2022

“شما فقط به اندازه ضعیفترین حلقه پیوندتان قوی هستید.” یا در فضای سایبری به اندازه آسیب‌پذیری‌هایتان. با نظارت بر آسیب‌پذیری‌هایی که به منابعی مثل برنامه‌های باگ‌بانتی گزارش شده‌اند، آماری از تهدیدات کنونی که به صورت بالقوه درمحیط حضور دارند را برای شما فراهم کرده‌ایم.

دراین مقاله ما برای درک بهتر آسیب‌پذیری‌هایی که به‌صورت مداوم گزارش ده اند، بانتی‌هایی که میزان افشای بالایی داند و …، گزارش هایی که از ژانویه تا جولای 2022 افشا شده اند را مورد تحلیل و بررسی قرار داده ایم.

در جدول زیر به توصیف برخی از این ویژگی ها پرداخته‌ایم:

ویژگی توصیف
عنوان گزارش نامی که صاحب اثر به گزارش داده است. درهمه موارد نوع آسیب پذیری تعیین نشده است.
تاریخ تاریخ اولین باری که آسیب پذیری به یک برنامه خاص گزارش شده.
صاحب اثر نام یا نام مستعار نگارنده گزارش. برخی اوقات، چند نفر درکنار هم به عنوان اعضای تیم گزارش را تهیه و تنظیم می‌کنند.
برنامه بیشتر نام شرکت پشت برنامه باگ بانتی مدنظراست. همچنین می تواند نام برنامه اینترنتی باگ بانتی که به تحقیقات امنیتی‌ای که درباره اثرات آسیب‌پذیری ها در پروژه های نرم افزاری متن باز پاداش می دهد باشد.
شدت شدت براساس عواملی چون محور حمله، پیچیدگی حمله، امتیازات موردنیاز (privileges required)، اثرمتقابل کاربر، میزان دسترسی، تمامیت (integrity)، میزان محرمانگی و اسکوپ محاسبه می‌شود.
پاداش (Bounty) میزان پاداش پرداختی به گزارش دهنده یا تیم گزارش دنده. پاداش توسط صاحب برنامه محاسبه می‌ضود و بین برنامه های مختلف متفاوت است.

پس از گردآوری داده ها، سوابق داده ها را برای سهولت طبقه بندی تجزیه و تحلیل و پردازش کردیم. اینکار به ما این امکان را داد تا به راحتی اطلاعات مهم را از میان سایر اطلاعات بیرون بکشیم.

سپس از فایل نتایج بدست آمده برای ساختن جدول فیلترشده زیر براساس ویژگی های توصیف شده در جدول بالا استفاده کردیم:

آسیب پذیری های 2022
شکل 1: مثال ویژگی های آسیب پذیری

اکنون، به بررسی برخی از این آمارهای قابل توجه می‌پردازیم.

برداشت های برگرفته شده از داده ها

تمام گزارش های باارزش را در لیست زیر طبقه بندی کرده ایم:

  • بیشترین پاداش
  • بیشترین نوع آسیب‌پذیری گزارش شده
  • بیشترین شدت گزارش شده
  • سایر آمار و ارقام

بیشترین پاداش

بیشترین پاداش پرداخت شده 29.000$ بود که به Vakzz برای آسیب پذیری arbitrary file read via the bulk imports UploadsPipeline که روی GitLab تاثیرمیگذاشت. دراین گزارش جزئیاتی از آسیب‌پذیری بحرانی آورده شده است که درآن یک کاربر با میزان دسترسی واردکردن یک گروه در GitLab، به دلیل عدم حذف یا فیلتر نشدن پیوندهای نمادین هنگام اجرای پایپ‌لاین آپلودها برای وارد کردن API های انبوه می‌تواند فایل‌های دلخواه را از روی سرور Gitlab بخواند.

Vakzz اثر این آسیب پذیری را با نشان دادن محتوای /etc/passwd و همچنین فایل /srv/gitlab/config/secrets.yml که حاوی کلیدها، کلمات عبور، توکن‌های API ها و سایر اطلاعات حساس بود، ثابت کرد

برای افردیکه کنجکاو هستند تا بیشتر دراین باره بدانند، در جدول زیر 4 پاداش بالایی که پرداخت شده آورده ایم:

عنوان صاحب اثر برنامه شدت پاداش
زنجیره بهره برداری bd-j theflow0 PlayStation بالا $20,000.00
دزدی اشیا خصوصی پروژه­های دیگر بااستفاده از واردکردن پروژه saltyyolk GitLab بحرانی $20,000.00
افشای اشیا خصوصی طی وارد کردن پروژه saltyyolk GitLab بحرانی $20,000.00
پاسخ کامل SSRF با استفاده از Google Drive bugdiscloseguys Dropbox بحرانی $17,576.00

شکل 2: چهار پاداش با بالاترین میزان پرداخت در 1H در سال 2022

توجه داشته باشید که یکی از پاداش های پرداخت شده با شدت بحراتی رتبه بندی نشده بود. برنامه PlayStation انتخاب کرده است که تنها یک رتبه شدت بالا به بهره برداری زنجیره‌ای bd-j  اختصاص دهد که شامل 5 آسیب پذیری می‌شد (3 آسیب‌پذیری متوسط و 2 آسیب‌پذیری با شدت بالا). این آسیب‌پذیری به حمله کننده اجازه می‌دهد تا از قابلیت‌های JIT بدست آورد و پی لودهای اختیاری اجرا کند که از آنها می تواند برای اهداف مختلفی استفاده کند. اهدافی مثل انتقال غیرقانونی بازی های ویدیویی روی دیسک های بلوری.

بیشترین نوع آسیب‌پذیری گزارش شده

XSS جایگاه نخست آسیب‌پذیری های گزارش شده را به خود اختصاص داد. این درحالیست که چارچوب‌های JavaScript مثل React و Angular در مقابل چنین حملاتی ایمنی مضاعفی را فراهم آورده‌اند، که پن تسترها همیشه راه هایی برای ئورزدن و بهره برداری از آن ها پیدا می‌کنند، حتی زمانیکه پیکربندی های اضافی‌ای مثل سیاست های ایمنی محتوا (CSPs) هم به اجرا درآمده باشد.

حتی باوجود اینکه XSS دیگر نمی‌تواند یک آسیب‌پذیری جدید درنظرگرفته شود، داده ها نشان می‌دهند که هنوز هم در وب اپلیکیشن های مدرن به حیات خود ادامه می‌دهند. یک مثال برای این مورد، گزارش Email templates XSS by filterXSS bypass است که در آن صاحب گزارش از یک تابع سفارشی برای تریگر کردن پی لود استفاده کرده است. هرچند این تست صرفا به خود XSS منجر شد، و برای کامل شدن پروسه به یک بای‌پس دیگر نیاز بود. این مساله بااستفاده از یک ویژگی احراز هویت در اپلیکیشن برای وادار کردن یک کاربر دیگر برای ورود به حساب کاربری مهاجم برای اجرای اسکریپت که منجر به تصاحب حساب کاربری می‌شد به صورت هوشمندانه ای حل شده بود.

جدولی که در ادامه آمده 3 آسیب‌پذیری‌ای که بیشترین میزان گزارش را دارد را نمایش می‌دهد:

آسیب پذیری های 2022
شکل 3: برترین های بیشترین نوع آسیب‌پذیری گزارش شده در 1H در سال 2022

همانطور که بالا دیدیم، آسیب پذیری SSRF و تصاحب حساب کاربری دومین و سومین نوع آسیب‌پذیری هایی بودند که بیشترین میزان گزارش را داشتند.

به دلیل پیچیدگی سرویس های مدرن، SSRF به یک تهدید شدید تبدیل شده است. این آسیب پذیری دیگر یک “ابزار اسکن پورت” نیست، بلکه به عنوان یک روش پیچیده تر برای افشای داده ها و حتی به  عنوان یک روش فعال کننده ارای کد از راه دور (RCE) می تاون از آن استفاده کرد. واکشی منبع بدون اعتبارسنجی ورودی ارائه شده توسط کاربر به قدری مشکل ساز است که در لیست 10 OWASP برتر سال 2021 هم جایگاهی را برای خود اختصاص داده است. این آسیب‌پذیری نام های بزرگی چون Dropbox، GitHub، Slack، Uber و Stripe را تحت تاثیر قرار داده است. همانطورکه در ادامه مشاهده خواهید کرد، حتی یک گزارش SSRF ای که به عنوان یک آُیب‌پذیری با شدت کم طبقه بندی شده است هم پاداش خوبی می تواند بگیرد:

آسیب پذیری های 2022
شکل 4: آسیب‌پذیری های SSRF گزارش شده.

تازمانیکه نیاز هست که کاربران برای ورود به سیستم لاگین کنند، تصاحب حساب کاربری هم مشکل باقی خواهد ماند. جای هیچ تعجبی نیست که این آسیب‌پذیری جایگاه سومین آسیب‌پذیری گزارش شده را به خود اختصاص دهد، چراکه شرکت ها و مهاجمان مدت هاست که به ترتیب درحال تلاش برای ایمن سازی یا تصاحب حساب‌های کاربری باهم درحال مبارزه هستند.

از آنجاییکه فرمول مشخصی برای تصاحب حساب های کاربری وجود ندارد، مکانیزم های جدید متصل به حساب های کاربری محورهای حمله را افزایش می‌دهند. پس بدون هیچ تعجبی، چند روشی که در گزارش ها بکارگرفته شده را در ادامه به شما نشان می‌دهیم:

آسیب پذیری های 2022
شکل5 : آسیب پذیری های گزارش شده از تصاحب حساب های کاربری

از تزریق HTML تا دسترسی بدون احرازهویت، این آسیب پذیری نه تنها برای کاربران موردهدف بلکه در تصاحب حساب های کاربری انبوه که در آن می توان با استفاده از کانال های جایگزین یا سایر اشکال احراز هویت نامناسب، احراز هویت آن را دور زد نیز یک مشکل پایان ناپذیر است.

بیشترین شدت گزارش شده

همانطور که انتظار میرفت، باتوجه به کارهایی که شرکت ها و توسعه دهندگان برای جلوگیری از بروز مشکلاتی که علاوه بر هزینه‌های مالی زیادی برای خودشان، به اعتبارشان، مشتری ها و حتی به وجود آمدن دعاوی حقوقی می‌شد، انجام دادند، خوشبختانه آسیب‌پذیری‌های بحرانی کمتر گزارش شده بود.

مشکلات با شدت کم هم به طور شگفت‌انگیزی جایگاه نخست را به خود اختصاص ندادند، اگرچه راحتی دسترسی به آنها و میزان پیچیدگی کم، آنها را به یک نقطه شروع برای بانتی هانترهای نوپا تبدیل می‌کند.

باتوجه به آمار پاراگراف های قبل، آسیب‌پذیری های با شدت متوسط جایگاه نخست بیشترین آسیب‌پذیری های گزارش شده را به خود اختصاص دادند. این آسیب پذیری ها روی هر سازمانی اثرات خاصی دارد و این رتبه بندی را بیشتر به خاطر فقدان راه آسان برای بهره‌برداری، براساس نیازهای منحصربفرد یا بخاطر پیچیدگی زیاد کسب کرده اند.

نمودار زیر آسیب پذیری های گزارش شده براساس میزان خطر شان را نمایش می‌دهد:

آسیب پذیری های 2022
شکل 6: طبقه بندی میزان شدت آسیب‌پذیری‌ها

توجه: در برخی از گزارش‌ها میزان شدت آسیب پذیری بیان نشده است، به همین خاطر اعداد این نمودار دربرگیرنده تمام آسیب پذیری‌های گزارش شده در زمان انجام تحلیل ها نیست.

درکل، رایج ترین رتبه بندی آسیب پذیری وضعیت کنونی عملیات امنیتی را برای شرکت های درگیر در برنامه های باگ بانتی منعکس می‌کند ، و به ما چشم اندازی از مشکلاتی که وجود دارد را می دهد تا با تمرکز بیشتر روی آن ها شرایط امنیتی مان را بهبود بخشیم. درحالیکه آسیب‌پذیری هایی با میزان خطر متوسط ممکن است بخاطر فقدان ابزارهای ساده بهره برداری یا فقدان محافظت با مکانیسم‌های دفاعی عمیق، تنها یک قدم با تبدیل شدن به مشکلات حادتر با پیامدهای قابل توجه‌تر فاصله دارند.

سایر آمارها

اگر علاقمند به مشاهده آمار بیشتری هستید، در ادامه داده های بیشتری را برای آورده ایم:

  • کمترین پاداش پرداخت شده:  50$
  • میانگین پاداش پرداختی : 1،963 $
  • گزارش های RCE افشا شده : 10
  • گزارش های تزریق SQL افشا شده : 14
  • کل مبلغ پرداختی طبق داده های در دسترس: 514،303$
  • گزارشات باگ بانتی اینترنتی : 33

چشم انداز پیش‌رو

درک وضعیت فعلی آسیب‌پذیری های رایج روی اپلیکیشن های مدرن بدون چشم پوشی از تهدیدات جدید یا غیرعمومی به ما اجازه می دهد تا یک قدم جلوتر از افراد متجاوز در زمانیکه به دنبال نقاط ضعف سیستم ها هستند قرار بگیریم. بازبینی این مشکلات به ما کمک میکند تا تلاش های صورت گرفته توسط شرکت ها برای کاهش هزینه های حملات رایج را بهتر تشخیص دهیم. بااینکه رفع آسیب پذیری های شدید امری حیاتی است، ولیکن نمی توانیم از اثرات و مشکلاتی که باگ های رده پایین می توانند به وجود بیاورند که گاها باعث به وجود آمدن مشکلات جدی در سیستم می شوند نیز چشم پوشی کنیم.

مطالعه داده های کنونی و چگونگی هم‌تراز کردن آنها با داده های قدیمی و ورژن‌های کنونی آسیب‌پذیری های رایجی مثل 10 آسیب پذیری برتر OWASP به ما کمک می‌کند تا الگوها را پیدا کنیم، ولیکن هرچقدر افراد حمله کننده با سرعت بیشتری به دنبال راه هایی برای تغییر فناوری های موجود برای کشف و بهره برداری از آسیب‌پذیری ها هستند به همان سرعت نیز ما دراین مسیر بیشتر غافلگیر خواهیم شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *