По статистике «Лаборатории Касперского», в первом полугодии 2022 года злоумышленники стали в 2 раза чаще* атаковать российских пользователей, используя уязвимость небезопасной десериализации
Этой угрозе подвержены как рядовые пользователи, так и компании. Пик таких атак пришёлся на апрель, когда их количество выросло почти в 3 раза по сравнению с апрелем 2021 года.
Программное обеспечение передает потоки данных, как между своими компонентами, так и в другое ПО, базы данных, файловые системы и различные веб-службы. Часто это происходит посредством сериализации – перевода структуры данных в последовательность байтов, и десериализации – наоборот, создания структуры данных из последовательности байтов. Отсутствие или недостаточная проверка этих данных может стать серьёзной уязвимостью, её называют «небезопасная десериализация».
Злоумышленники, эксплуатируя эту уязвимость, могут вызвать отказ в обслуживании, загрузить вредонос, а также удалённо выполнить собственный код на пользовательских устройствах и корпоративных серверах и получить к ним доступ. В результате появляется риск кражи конфиденциальных данных и денег со счетов жертвы.
«Новые киберриски — вечный спутник новых технологий. Вместе с распространением ПО, созданного с применением продвинутых инструментов, например, управляемых языков программирования, расширяется и перечень угроз, направленных на эти технологии. Уязвимость небезопасной десериализации актуальна для большинства популярных языков, таких как Java, C#, C/C++, Python, Ruby, ASP.NET, PHP. Обычно в современных библиотеках, как встроенных в ядро языка, так и сторонних, присутствуют различные механизмы по устранению этой уязвимости. Но на деле разработчики часто забывают ими воспользоваться или недостаточно прорабатывают исходный код, особенно, если сказывается недостаток опыта в написании безопасных программ», — Алексей Кулаев, ведущий вирусный аналитик «Лаборатории Касперского».
Чтобы защитить ПО от атак с использованием уязвимости небезопасной десериализации, «Лаборатория Касперского» рекомендует разработчикам:
- вводить ограничения на использование типов объектов при десериализации, чтобы блокировать создание того или иного объекта при обработке исходных данных, например, на основе чёрных, либо белых списков;
- проводить проверку целостности переданных данных, в частности, используя алгоритм цифровой подписи и аутентификации сообщений;
- применять различные механизмы по изоляции кода десериализации, например, выносить его в отдельный непривилегированный процесс, который имеет гораздо меньше прав в системе, или использовать песочницы;
- вести журнал ошибок десериализации для осуществления мониторинга нестандартных ситуаций.
Компаниям эксперты «Лаборатории Касперского» советую предпринимать следующие меры для защиты корпоративных систем и своих сотрудников от этого типа угроз:
- использовать защитные решения, детектирующие уязвимости, например Kaspersky Endpoint Security (компонент решения Automatic Exploit Prevention отслеживает и блокирует подозрительную активность приложений в системе);
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит в том числе системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей;
- вовремя обновлять операционную систему и используемое программное обеспечение.
* По сравнению с аналогичным периодом прошлого года.