Deskribapena
Kalteberatasun bat diseinuko akats batek edo ahulezia batek eragiten du, edo arriskua dakarren software edo sistema baten ezarpenak, eta erasotzaile batek egoera hori bere mesederako ustiatu edo baliatu ahalko du sistemaren edo sistemak biltegiratzen dituen datuen konfidentzialtasuna, erabilgarritasuna edota integritatea konprometitzeko helburuarekin. Kalteberatasun bat ustiatzeko erabilitako kodeari edo erremintari exploit deitzen zaio.
Zero-eguneko kalteberatasunak (ingelesezko zero-day terminoarengatik esaten zaio normalean horrela) zera dira, ustiatuak izan ziren unean beren existentzia ezezaguna zen kalteberatasunak, kalteberatasun ezezagunak produktuaren edo eraginpeko sistemaren fabrikatzailearentzat edo publikoarentzat oro har. Zenbaitek esamoldearen izena kalteberatasuna zuzentzeko "zero egun" izatearekin lotzen dute. Akats horiek eta, horrenbestez, akats horien ondoriozko eraso posibleak aurreikusteko zailtasuna dela-eta, arrisku handia dakarte segurtasun informatikoari begira.
Adibideak
SolarWinds (CVE-2021-35211)
2021eko uztailean Microsoftek jakinarazi zuen urruneko kodeko exekuzioko zero-eguneko kalteberatasun bat aurkitu zuela SolarWindsen Serv-U FTP softwarean, kalteberatasun hori nahita bideratutako erasoetan ustiatua izan zelarik. Kalteberatasun horren (CVE-2021-35211) ustiaketak pribilejiodun kode arbitrarioaren exekuzioa ahalbidetzen die erasotzaileei. Microsoftek DEV-0322 bezala ezagututako APT talde txinatarrarekin lotu zituen eraso horiek, ziurtasun handiarekin.
SolarWinds: Supernova (CVE-2020-10148)
Bezero baten sarerako sarbide baimendua eskatzen duen zerbitzari batean aurkitu zen Supernova malwarea eta SolarWindsen produktu baten zati izateko itxura emateko diseinatuta zegoen. Bi osagai zituen: sinatu gabeko webshell gaizto bat, SolarWindsen DLL baten kopia zena, zeinari funtzionalitate gaiztoak gehitu baitzitzaizkion; eta DLL hori instalatzeko aprobetxatu zuen zero-eguneko kalteberatasun bat (CVE-2020-10148).
SolarWinds Orion-en APIan dago kalteberatasuna eta autentifikazioa saihestea ahalbidetzen du, erasotzaile bati APIaren komandoak exekutatzea ahalbidetuz, eta horrek SolarWindsen instantziaren konpromiso bat eragin ahalko luke.
WannaCry (CVE-2017-0144)
2017. urtearen hasiera-aldera, Shadow Brokers bezala ezagututako APT taldeak erreminten eta zero-eguneko kalteberatasunen exploiten pakete bat filtratu zuen. Microsoftek denbora-tarte laburrean adabaki edo partxe bat argitaratu bazuen ere, ziberkriminalek ekipamendu asko petatxatu gabe zeudela aprobetxatu zuten.
WannaCry rasomwarearen erasoa 2017ko maiatzean izan zen, 75.000 ekipamendu baino gehiago hartu zituen eraginpean 100 herrialdetan baino gehiagotan, eta "Eternal Blue" bezala ezagututako exploita erabili zuen, zeinak CVE-2017-0144 bezala identifikatutako SMBv1eko kalteberatasuna ustiatzen baitzuen, urruneko erasotzaileek kode arbitrarioa exekutatzea ahalbidetuz.
Stuxnet
Har motako malware bat da Stuxnet, SCADA sistemak eraginpean hartzen dituena, eta USB memorietan banatu eta Microsoft Windows sistema zeukaten ordenagailuetan hedatzen zena.
Lau kalteberatasun ustiatzen zituen harrak, lau horietatik hiru zero-egunekotzat hartzen zirelarik, hiru horietatik bi Windowseko kode arbitrarioko exekuzioko kalteberatasunak (CVE-2010-2568 eta CVE-2010-2729) izanik eta hirugarrena SCADA sistemetako pribilejioen eskaladako kalteberatasun bat (CVE-2010-2772).
Instalazio nuklear iraniarren aurkako erasoetan erabili zen hasiera batean. Ekipamendu berri batera banatzean, PLC ekipamenduek erabiltzen duten “Siemens Step 7” softwarearen presentzia egiaztatzen zuen harrak. Behin aurkitutakoan, malwareak bere kodea eguneratzen zuen eta PLCk kontrolatutako ekipamenduei kalteak eragiten zizkieten instrukzioak bidaltzen hasten zen, bitartean kontrolatzaile nagusiari informazio faltsua bidaliz. Azkenik ekipamendua autosuntsitu egiten zen.
Harrak eboluzioa izan zuen eta bere helburu-zerrenda zabaldu zuen, instalazio industrialei eta energia produzitzeko instalazioei erasotuz.
Mirai
IoTaren ekipamenduak infektatzeko botneten familiako malware bat da Mirai. Routerrak eta IP kamerak infektatzea du helburu nagusitzat, elementu horiek DDoS Banatutako Zerbitzuaren Ukapena motako erasoak egiteko erabiltzeko helburuarekin.
Bere egileak malwarearen iturri-kodea 2016. urtearen amaiera-aldera argitaratu izanak Mirairen aldaera ugari sortzea eragin zuen. Aldaera horietako askok zero-eguneko kalteberatasunak erabili dituzte sistemetarako sarbidea lortzeko. Horixe da Ttint botnetaren adibidea, Tenda routerretako zero-eguneko bi kalteberatasun ustiatzen baitzituen: CVE-2020-10987 eta CVE-2018-14558, sistemako komando arbitrarioen exekuzioa ahalbidetzen zutenak. Satori edo Okiru bezala ezagututako aldaerak, zeinak mundu osoko egituretan kalteak eragin baitzituen 2016an, horrelako kalteberatasunak ere aprobetxatzen zituen, kasu honetan, Huawei routerretan: kode arbitrarioko urruneko exekuzioko kalteberatasun bat (CVE-2017-17215), eta beste kalteberatasun bat, zeinak, aurrekoaz gain, artxibo arbitrarioei datuak gehitzea ahalbidetzen baitzien urruneko erasotzaileei (CVE-2013-6955).
Arintzeak
Prebentzio-neurriak ezartzea gomendatzen dugu, hala nola su-etenak, IDS intrusioak detektatzeko sistemak eta EDR (ingelesez Endpoint Detection and Response) sistemak erabiltzea, baita aldian behingo segurtasun-auditoriak egitea ere.
Garrantzi berezia du eguneratzeen eta adabakien behar bezalako politika bat sustatzeak, aldian behin, sistemena zein erabilitako programena, kalteberatasun berriak ustiatuak ahal izatea saihesteko.
Segurtasun-jardunbide egoki bat zera izaten da, sistema batean erabiltzen ez diren zerbitzu guztiak desgaitzea.
Erreferentziak:
https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-vulnerabilidad-zero-day
https://www.welivesecurity.com/la-es/2015/02/25/que-es-un-0-day/
https://www.avast.com/es-es/c-zero-day
https://us.norton.com/internetsecurity-emerging-threats-how-do-zero-day-vulnerabilities-work.html
https://www.trendmicro.com/vinfo/us/security/definition/zero-day-vulnerability
