Kas ir nulles dienas ievainojamība (zero-day)?
Nulles dienas ievainojamība (angliski — zero-day vulnerability) ir programmatūras drošības caurums, par kuru ražotājs vēl nezina vai kuram vēl nav pieejams ielāps (patch). Nosaukums "nulles dienas" nozīmē, ka ražotājam ir bijušas nulle dienas, lai novērstu problēmu — ievainojamība tiek ekspluatēta pirms tās pastāvēšana ir zināma.
Nulles dienas ievainojamības ir vienas no bīstamākajām kiberdrošības problēmām, jo pret tām nav tiešas aizsardzības — tradicionālie drošības rīki, kas balstās uz zināmu draudu parakstiem, tās nespēj atklāt. Šīs ievainojamības ir ļoti vērtīgas melnajā tirgū un valstu kiberoperācijās.
Šajā rakstā apskatīsim, kā nulles dienas ievainojamības rodas, kāpēc tās ir tik bīstamas, ievērojamākos piemērus un metodes, kā samazināt riskus arī bez pieejamiem ielāpiem.
Kā rodas nulles dienas ievainojamības
Nulles dienas ievainojamības rodas no programmēšanas kļūdām, loģiskām nepilnībām vai dizaina trūkumiem programmatūrā. Katra programmatūra satur kodu, un jo sarežģītāks kods, jo lielāka iespēja, ka tajā slēpjas kļūdas. Pat rūpīgākie izstrādātāji un visplašākie testēšanas procesi nevar garantēt pilnīgu kodu bez kļūdām.
Bieži ievainojamības slēpjas neierastās ievades datu apstrādes scenārijos — kad programmatūra saņem datus, ko izstrādātāji nav paredzējuši, tā var uzvesties negaidīti, atklājot drošības caurumus. Bufera pārpildīšana (buffer overflow), SQL injekcijas, atmiņas pārvaldības kļūdas un loģiskās nepilnības ir tipiski ievainojamību veidi.
Nulles dienas ievainojamības var atklāt dažādi aktori. Drošības pētnieki tās atrod un atbildīgi ziņo ražotājam (responsible disclosure), dodot laiku ielāpa izstrādei. Valstu izlūkdienesti tās atrod vai iegādājas un glabā savām operācijām. Kriminālās grupas tās atrod vai pērk melnajā tirgū un izmanto uzbrukumos.
Nulles dienas ievainojamību cena melnajā tirgū var sasniegt miljonus dolāru — it īpaši populārām platformām kā iOS, Android, Windows vai Chrome. Kompānijas kā Zerodium atklāti piedāvā līdz 2,5 miljoniem USD par iOS pilnas ķēdes ievainojamībām, kas norāda uz vēl augstākām cenām slēgtajā tirgū.
Kāpēc nulles dienas ievainojamības ir īpaši bīstamas
Nulles dienas ievainojamību bīstamība izriet no vairākiem faktoriem, kas tās padara unikāli problemātiskas salīdzinājumā ar citām drošības problēmām.
Pirmkārt, nav pieejams ielāps. Kad zināma ievainojamība tiek publiskota, ražotājs izdod ielāpu un organizācijas var to instalēt. Nulles dienas gadījumā ielāps vienkārši neeksistē — organizācija ir neaizsargāta neatkarīgi no tā, cik ātri tā parasti atjaunina programmatūru.
Otrkārt, tradicionālie drošības rīki bieži ir neefektīvi. Antivīrusu programmas un ielaušanās noteikšanas sistēmas (IDS), kas balstās uz parakstiem (signatures), nevar atklāt uzbrukumus, kas izmanto nezināmas ievainojamības. Tikai uzvedības analīzes risinājumi (UEBA, EDR ar mašīnmācīšanos) var potenciāli identificēt nulles dienas ekspluatāciju pēc anomālām darbībām.
Treškārt, nulles dienas uzbrukumi bieži ir mērķēti un sofisticēti. Tos izmanto valstu līmeņa uzbrucēji (APT — Advanced Persistent Threats) un organizētās kibernoziedznieku grupas, kurām ir resursi ilgstošām un kompleksām operācijām.
Ceturtkārt, nulles dienas ievainojamības var ietekmēt miljoniem ierīču vienlaicīgi — ja ievainojamība ir plaši izmantotā programmatūrā (piemēram, Microsoft Exchange vai Apache servera programmatūrā), potenciāli ievainojami ir visi lietotāji pasaulē.
Piektkārt, laiks starp ievainojamības atklāšanu un ielāpa izlaišanu (exposure window) var būt dienas, nedēļas vai pat mēneši — un visu šo laiku organizācijas ir neaizsargātas.
Ievērojamākie nulles dienas piemēri
Log4Shell (CVE-2021-44228) ir viens no nozīmīgākajiem nulles dienas piemēriem vēsturē. 2021. gada decembrī atklātā ievainojamība Apache Log4j bibliotēkā — plaši izmantotā Java žurnālēšanas komponentē — ļāva uzbrucējam izpildīt patvaļīgu kodu attālināti. Log4j bija iestrādāta tūkstošiem lietojumprogrammu un pakalpojumu, padarot ievainojamības ietekmi globālu. Dažu stundu laikā pēc publiskošanas tika novēroti masveida ekspluatācijas mēģinājumi.
MOVEit Transfer ievainojamība (CVE-2023-34362) 2023. gadā ļāva Cl0p ransomware grupai kompromitēt simtiem organizāciju, kas izmantoja populāro failu pārsūtīšanas programmatūru. Uzbrukums skāra valsts iestādes, universitātes, finanšu iestādes un tehnoloģiju uzņēmumus visā pasaulē, ietekmējot miljoniem cilvēku personiskos datus.
Microsoft Exchange ProxyLogon (CVE-2021-26855) un saistītās ievainojamības ļāva uzbrucējiem attālināti piekļūt e-pasta serveriem, lasīt e-pastus un instalēt backdoor programmatūru. Ievainojamības tika aktīvi ekspluatētas vairākas nedēļas pirms ielāpa izlaišanas, ietekmējot desmitiem tūkstošu organizāciju.
Kaseya VSA uzbrukums 2021. gadā izmantoja nulles dienas ievainojamību IT pārvaldības programmatūrā, lai izplatītu REvil ransomware tūkstošiem organizāciju caur to IT pakalpojumu sniedzējiem — klasisks piegādes ķēdes uzbrukuma piemērs.
Šie piemēri demonstrē, ka nulles dienas ievainojamības nav tikai teorētisks risks — tās aktīvi tiek izmantotas un rada reālus, bieži katastrofālus zaudējumus.
Kā aizsargāties bez pieejamiem ielāpiem
Lai gan pret nulles dienas ievainojamībām nav tiešas aizsardzības, daudzlīmeņu drošības pieeja (defense in depth) būtiski samazina risku un iespējamo ietekmi.
Tīkla segmentācija ierobežo uzbrucēja spēju pārvietoties infrastruktūrā pēc sākotnējās kompromitēšanas. Ja kritiskās sistēmas ir izolētas atsevišķos tīkla segmentos, nulles dienas ekspluatācija vienā sistēmā nenodrošina piekļuvi visai infrastruktūrai.
Nulles uzticamības (Zero Trust) arhitektūra nodrošina, ka katra piekļuves pieprasījuma tiek verificēta neatkarīgi no lietotāja atrašanās vietas. Princips "nekad neuzticies, vienmēr verificē" samazina ietekmi arī tad, ja ievainojamība tiek veiksmīgi ekspluatēta.
EDR (Endpoint Detection and Response) risinājumi ar uzvedības analīzi var identificēt aizdomīgas darbības pat bez zināma draudu paraksta. Ja nulles dienas ekspluatācija mēģina veikt neparastas darbības (piemēram, Word process palaiž PowerShell komandu), EDR var to identificēt un apturēt.
Minimālo privilēģiju princips nodrošina, ka lietotājiem un sistēmām ir tikai tā piekļuve, kas nepieciešama to funkciju veikšanai. Tas ierobežo zaudējumus, ja konts vai sistēma tiek kompromitēta.
Ātrs ielāpu piemērošanas process (patch management) nodrošina, ka tiklīdz ielāps kļūst pieejams, tas tiek instalēts pēc iespējas ātrāk. Lai gan tas neaizsargā pret pašu nulles dienas periodu, tas minimizē ekspozīcijas logu.
Kāpēc svarīgi Latvijas uzņēmumiem
Latvijas uzņēmumi nav imūni pret nulles dienas ievainojamībām — tie izmanto to pašu programmatūru un tehnoloģijas kā organizācijas visā pasaulē. Log4Shell, MOVEit un citas globālas ievainojamības tieši skāra arī Latvijas organizācijas.
CERT.LV regulāri izplata brīdinājumus par aktīvi ekspluatētām ievainojamībām, tostarp nulles dienas. Organizācijām, kas neuzrauga CERT.LV paziņojumus un neseko līdzi drošības biļeteniem, ir ievērojami augstāks risks tikt kompromitētām.
NIS2 direktīva un NKDL pieprasa organizācijām nodrošināt ievainojamību pārvaldības procesus, tostarp spēju reaģēt uz jaunām, iepriekš nezināmām ievainojamībām. Tā nav tikai ielāpu instalēšana — tas ietver arī kompensējošo kontroles mehānismu ieviešanu, kamēr ielāps nav pieejams.
Latvijas uzņēmumiem ar ierobežotiem resursiem daudzlīmeņu aizsardzība pret nulles dienas draudiem var šķist sarežģīta un dārga. Taču managed drošības pakalpojumi — SOC, managed EDR, ievainojamību pārvaldība — padara šīs spējas pieejamas arī vidēja lieluma organizācijām.
securIT nepārtraukti uzrauga jaunu ievainojamību parādīšanos un proaktīvi informē klientus par nepieciešamajām darbībām. Mūsu SOC komanda ir spējīga identificēt nulles dienas ekspluatācijas mēģinājumus reāllaikā, izmantojot uzvedības analīzes tehnoloģijas.
Biežāk uzdotie jautājumi
Kāda ir atšķirība starp nulles dienas ievainojamību un nulles dienas uzbrukumu?
Nulles dienas ievainojamība ir drošības caurums programmatūrā, par kuru ražotājs vēl nezina vai kuram nav ielāpa. Nulles dienas uzbrukums (zero-day exploit) ir šīs ievainojamības aktīva izmantošana uzbrukumā. Ne visas nulles dienas ievainojamības tiek izmantotas uzbrukumos — daudzas tiek atbildīgi ziņotas ražotājam un novērstas pirms ekspluatācijas. Taču, kad ievainojamība tiek aktīvi ekspluatēta, risks ir kritiski augsts.
Vai antivīruss aizsargā pret nulles dienas uzbrukumiem?
Tradicionāls parakstu bāzēts antivīruss parasti neaizsargā pret nulles dienas uzbrukumiem, jo tam nav zināms draudu paraksts. Mūsdienu EDR risinājumi ar uzvedības analīzi un mašīnmācīšanos var identificēt aizdomīgas darbības pat bez zināma paraksta, taču 100% garantiju nesniedz neviens risinājums. Tāpēc daudzlīmeņu aizsardzības pieeja ir kritiska.
Cik bieži tiek atklātas nulles dienas ievainojamības?
Atklāto nulles dienas ievainojamību skaits katru gadu pieaug. 2023. gadā tika identificētas vairāk nekā 90 aktīvi ekspluatētas nulles dienas ievainojamības — rekordaugsts rādītājs. Reālais skaits, visticamāk, ir augstāks, jo daudzas ievainojamības paliek neatklātas vai netiek publiskotas. Google, Microsoft un Apple operētājsistēmās nulles dienas tiek atrastas regulāri.
Ko darīt, ja manā programmatūrā tiek atklāta nulles dienas ievainojamība?
Nekavējoties pārbaudiet, vai ražotājs ir izlaidis ielāpu, un instalējiet to. Ja ielāps nav pieejams, ieviesiet kompensējošos pasākumus — ierobežojiet piekļuvi ietekmētajai sistēmai, bloķējiet zināmos uzbrukuma vektorus, pastipriniet uzraudzību. Sekojiet ražotāja un CERT.LV paziņojumiem. Apsveriet ietekmētās sistēmas pagaidu atslēgšanu, ja risks ir kritisks un alternatīvas ir pieejamas.