A nulladik napi sebezhetőségek millió dolláros piaca

 

Az ún. nulladik napi exploitok – azaz a zero-day sebezhetőségek kihasználására szolgáló kódok, parancsok és módszerek – alapvető fegyvernek minősülnek a nemzetállami szereplők és kiberbűnözői csoportok arzenáljában. Az exploitok iránti megnövekedett kereslet egy többmilliós piacot táplál, ahol ezek a rosszindulatú kódok hihetetlenül drágák lehetnek.

A Digital Shadows szakemberei egy érdekes kutatást tettek közzé “Vulnerability Intelligence: Do you know where your flaws are?” címmel (Sebezhetőségi Intelligencia: Ön tudja, hogy hol vannak a hibái?), amely rávilágított arra, hogyan működik a sebezhetőségek kihasználásán alapuló bűnözés. A bűnözők állítása szerit akár 10 000 000 dollárért is eladhatják a nulladik napi exploitokat. Ez az ár óriásinak tűnhet, de még így is eltörpül a profit mellett, amit ezekkel a sebezhetőségekkel kereshetnek a vásárlók. Az árat továbbá az is emeli, hogy a cégek és gyártók által kínált, ún. bug bounty programok sok esetben szintén milliós nagyságrendűek. Ennek lényege, hogy a vállalatok fizetnek azért, ha valaki talál egy kritikus hibát a rendszerükben. Gyakorlatilag ez az érme két oldala: az egyik illegális, sok esetben jobban fizet, és a hibák kihasználását szorgalmazza, míg a másik törvényes kereteken belül működik, és célja a támadások megelőzése.

A tanulmány beszámol egy olyan esetről, amikor egy bűnöző 3 000 000 dollárt ajánlott egy Remote Code Execution (RCE, távoli kódfuttatás) nulladik napi sebezhetőségért. Ez az összeg nagyobb, mint a törvényesen működő ”nulladik napi brókercég”, a Zerodium által felajánlott kifizetés, amely akár 1 millió dollárt is kínál egy hasonló, Windows 10-en működő exploitért.

A jelentés leírja, hogy nem csak a nemzetállami hackerek képesek ilyen magas árat fizetni, hanem akár a kiberbűnözői szervezetek is, különösen a zsarolóvírus bandák.

A kutatók először elemezték az úgynevezett “Exploit-as-a-service” modellt, amelynek lényege, hogy bérbeadják a nulladik napi exploitokat más kiberbűnözői szervezeteknek a hacker műveleteik végrehajtásához.

A Digital Shadows kutatói kategorizálták az exploit piacon résztvevő tipikus szereplőket:

  • „High-rollers”: ők több mint 1 000 000 dollárért adnak el és vásárolnak nulladik napi exploitokat. Hatalmas pénzügyi forrásokkal rendelkeznek, az esetek többségében államilag támogatott szereplők, néha sikeres vállalkozók.
  • Általános kereskedők: kevésbé kritikus sebezhetőségek és exploit készletek eladói.
  • Általános vevők: olyan személyek, akik érdeklődnek az exploitok megvásárlása iránt, de korlátozott anyagi forrásokkal rendelkeznek, ezért vásárlás előtt általában megvárják, amíg az exploitok ára csökken.
  • Kódközvetítők: olyan képzett emberek, akik PoC exploit kódokat osztanak meg és hirdetnek GitHubon és különbőző hackerfórumokon.
  • Bemutatók: képzett fórumtagok, akik demonstrálják a sebezhetőségeket és megosztják a tudásuk egy részét az exploitok végrehajtásával kapcsolatban.
  • Újoncok: kisebb műszaki és technikai tudással rendelkező felhasználók, akik folyamatosan tanulnak a tapasztalt társaiktól és alkalmazzák az itt megszerzett tudásukat különböző platformokon.
  • Newshounds: a közösség azon munkatársai, akik cikkeket és friss híreket osztanak meg a nemrég felfedezett sebezhetőségekről.

A szakértők kiemelik, hogy a kockázatok osztályozása kizárólag a sebezhetőségekhez rendelt CVSS-pontszámok alapján nem elegendő. A pontszámok egy adott sebezhetőség technikai súlyosságáról adnak képet, de nem tükrözik annak valós idejű kihasználhatóságát. A pontszámból például nem derül ki, hogy vannak-e már kompenzáló lépések folyamatban, és azt sem, hogy az érintett eszköz mennyire kritikus. (Egy kritikus eszközön található közepes sebezhetőséget mindig előbb kell orvosolni, mint egy nem fontos rendszeren található kritikus sebezhetőséget).

A tanulmány által nyújtott kép azt sugallja, hogy a sebezhetőségek javításának klasszikus megközelítésén változtatni kell és új paradigmára van szükség ahhoz, hogy fel lehessen venni a kesztyűt a bűnözőkkel ebben a talán soha véget nem érő harcban.

(securityaffairs.co)