Хабр, привет!
Наша киберёлочка горит, шарики с киберитогами на ней висят, а мы завершаем серию статей историей про уязвимости в железе и программном обеспечении. Ранее мы рассказали про технологические тренды, ланшдшафт киберугроз, расследования и киберразведку, а также прожитый в кибершторме год.
Белый хакинг: ключевые цифры и новые базы уязвимостей
Диана Абдурахманова
Руководитель группы координированного раскрытия уязвимостей
Почти пять сотен найденных уязвимостей за год
В прошлом году исследователи безопасности Positive Technologies обнаружили около 450 уязвимостей нулевого дня (большая часть устранена) в оборудовании и ПО отечественных и зарубежных поставщиков, включая глобальных мировых лидеров. Это значение вчетверо превышает показатель прошлого года (114 недостатков). Такой разрыв объясняется не только ростом числа уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей.
Отношение вендоров к вопросам устранения уязвимостей продолжает меняться в лучшую сторону. Мы отметили положительную динамику реагирования вендоров на оповещения об обнаруженных уязвимостях.
Скорость реагирования разработчиков на первое уведомление об уязвимости увеличилась в этом году на 10%.
Число уязвимостей, которые были полностью исправлены в течение 30 дней, увеличилось на 15%, а доля тех, для устранения которых требовалось до 60 дней, сократилась на 20%.
Десятая часть (9%) найденных экспертами Positive Technologies дефектов защиты имела критически высокий уровень опасности. При этом прослеживается любопытная тенденция: две трети из них (67%) содержались в промышленных системах и устройствах (АСУ ТП). Чаще всего встречались уязвимости следующих классов:
загрузка кода без проверки целостности (CWE-494). Уязвимость в ПО, при которой приложение загружает код (например, скрипты, плагины или библиотеки) без верификации его подлинности и целостности, например, с помощью криптографических хешей или цифровых подписей. В результате злоумышленник может заменить легитимный код на вредоносный, что приведет к выполнению несанкционированных операций, утечке конфиденциальной информации или компрометации системы;
некорректное назначение прав доступа к критически важным ресурсам (CWE-732). Уязвимость в ПО, при которой приложение неправильно устанавливает разрешения для важных ресурсов (например, файлов, каталогов или системных объектов), предоставляя излишние права неавторизованным пользователям или процессам. В результате злоумышленник может получить доступ к конфиденциальным данным, изменить или удалить критически значимые компоненты системы, что приведет к утечке информации, нарушению целостности данных или компрометации системы;
использование хеша пароля вместо пароля для аутентификации (CWE-836). Уязвимость в ПО, при которой приложение неправильно обрабатывает процесс аутентификации, принимая хеш пароля как действительные учетные данные (например, сохраняя его в сессии или используя напрямую для проверки вместо сравнения с эталонным хешем). В результате злоумышленник, получивший доступ к хешу (например, через утечку данных), может обойти аутентификацию, не зная оригинального пароля, что приведет к несанкционированному доступу к учетным записям, компрометации пользовательских данных и потере контроля над системой.
Среди классов наиболее опасных недостатков безопасности, выявленных нами в других продуктах и устройствах (не АСУ ТП), лидировали:
неправильный контроль генерации кода (внедрение кода) (CWE-94). Уязвимость в ПО, при которой приложение динамически формирует исполняемый код, используя недоверенные входные данные пользователя без санитизации*. В результате злоумышленник может внедрить и выполнить произвольный код, что приведет к компрометации системы, утечке конфиденциальной информации или полной потере контроля над сервером;
десериализация ненадежных данных (CWE-502). Уязвимость, возникающая, когда приложение десериализует (преобразует) данные из ненадежного источника без надлежащей проверки. Это может позволить злоумышленнику манипулировать данными, чтобы вызвать сбой, получить несанкционированные привилегии или даже выполнить произвольный код в скомпрометированной системе;
некорректная нейтрализация специальных элементов, используемых в командах операционной системы (внедрение команд ОС) (CWE-78). Уязвимость в ПО, при которой приложение включает недоверенные данные от пользователя в системные команды без экранирования специальных символов, интерпретируемых оболочкой ОС. В результате злоумышленник может внедрить и выполнить произвольные команды, что приведет к компрометации системы, утечке конфиденциальной информации или полной потере контроля над сервером.
*Санитизация данных — это процесс обработки входных данных для удаления или нейтрализации потенциально опасных элементов (например, специальных символов, тегов, команд), которые могут быть использованы для внедрения вредоносного кода или нарушения логики приложения.
Число слабых мест в российских решениях выросло почти втрое по сравнению с прошлым годом, составив примерно 30% от общей суммы зафиксированных. Так, например, эксперты Positive Technologies помогли исправить критически опасные недостатки в контроллерах Fastwel (PT-2025-40 257—PT-2025-40 265*), в системах бронирования для офисных пространств Booco (PT-2025-35 786) и других.
*Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
В связи с тем, что вырос исследовательский интерес к продуктам с открытым исходным кодом, мы наблюдаем увеличение количества найденных пробелов в их безопасности почти в семь раз относительно показателя 2024 года.
Что принесет наступивший год
Мы прогнозируем дальнейший рост количества уязвимостей в отечественном ПО. Это связано с тем, что отечественный рынок продолжает переходить на российские продукты, а в коммуникации с зарубежными вендорами по‑прежнему есть некоторые трудности.
Периодические задержки в обновлении общеизвестных баз уязвимостей (National Vulnerability Database, Common Vulnerabilities and Exposures корпорации MITRE), как и проблемы с их финансированием, могут стать серьезным препятствием для процессов управления уязвимостями, поскольку уменьшится доступность информации о старых, но все еще актуальных дефектах. В этих условиях формированию более полной картины угроз будет способствовать активное развитие и наполнение региональных (национальных) баз данных уязвимостей, например БДУ ФСТЭК России, China National Vulnerability Database (CNNVD), а также запуск глобальных платформ, таких как портал dbugs, где в любой момент можно узнать детали о новых и уже известных недостатках в программном обеспечении и оборудовании производителей со всего мира.
2025–2026: какие уязвимости были и будут в тренде
Александр Леонов
Ведущий эксперт PT Expert Security Center
Всего за 11 месяцев 2025 года эксперты Positive Technologies отнесли к трендовым 63 уязвимости. Они были обнаружены в операционных системах, прикладном программном обеспечении, почтовых серверах, сетевых устройствах и других продуктах.
Для 47 из 63 трендовых уязвимостей есть зафиксированные признаки экспл��атации в атаках, для 12 — публичные эксплойты, но нет признаков эксплуатации. На основе анализа информации об аналогичных трендовых уязвимостях мы отнесли к таким еще четыре, для которых пока нет признаков эксплуатации и публичных эксплойтов.
Большинство трендовых уязвимостей было связано с выполнением произвольного кода (30) и с повышением привилегий (19).
Компания Microsoft остается стабильным «поставщиком» трендовых уязвимостей. В этом году продукты вендора содержали 30 таких брешей, что составило 47% от общего количества.
В прошлом году мы прогнозировали увеличение количества трендовых уязвимостей в отечественных продуктах. Если в 2024-м в них не было уязвимостей, отнесенных к трендовым, то в этом году мы отнесли к таким четыре недостатка безопасности: возможность выполнения произвольного кода в почтовом сервере CommuniGate Pro (PT-2024-41 036*, BDU: 2025–01 331) и цепочку уязвимостей в сервере видео‑конференц‑связи TrueConf Server, состоящую из PT-2025-36 231 (BDU: 2025–10 114), PT-2025-36 232 (BDU: 2025–10 115), PT-2025-36 233 (BDU: 2025–10 116). До их устранения злоумышленник, предварительно скомпрометировавший публично доступные из интернета серверы, получал возможность развить атаку внутри корпоративной сети организации. Тенденция к росту количества трендовых уязвимостей в отечественных продуктах объясняется продолжением импортозамещения в российских компаниях. Объемы используемого отечественного ПО увеличиваются, оно становится значимой частью инфраструктуры. Это стимулирует интерес к обнаружению уязвимостей в нем как со стороны исследователей, так и со стороны злоумышленников. Кроме того, растет зрелость вендоров российского ПО — они выделяют больше ресурсов на определение уязвимостей в ПО, их устранение и регистрацию в базах уязвимостей (прежде всего БДУ ФСТЭК).
*Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
В 2026 году мы ожидаем продолжения возрастания доли трендовых уязвимостей в отечественных продуктах и преобладающей доли таких уязвимостей в продуктах софтверного гиганта Microsoft.
Чтобы защититься от подобных угроз, необходимо знать инфраструктуру организации, а также использовать решения, которые помогают вовремя устранять недостатки безопасности. Реальность заставляет не просто управлять уязвимостями, но и переходить на следующий уровень — моделировать атаки и управлять киберугрозами. Чтобы защититься от современных атак, компаниям нужно видеть всю площадь атаки, понимать связи между активами, уязвимостями, ошибками конфигурации, правами пользователей, а также оценивать, как по этим маршрутам реально может пройти злоумышленник. Моделирование потенциальных путей атак позволяет выявить наиболее серьезные источники угроз для инфраструктуры, устранить их, максимально снизить риски и повысить киберустойчивость без необоснованного перерасхода ресурсов.
Исследование микроэлектроники и встраиваемых систем: итоги года и прогнозы
Алексей Усанов (@Benonline)
Руководитель Positive Labs
Рост числа подключенных устройств
Прошлый год показал, что человечество все больше использует подключенные устройства в совершенно разных областях. Современные автомобили, умные дома и светофоры, индустриальные устройства, носимые датчики — все они имеют подключение к облачной инфраструктуре. И при ее компрометации сценарии угроз могут быть совершенно разные — от блокировки отдельных функций до заражения устройств и создания ботнетов. Еще одна опасность — это неправильная архитектура, подразумевающая «привилегированность» устройства. Если злоумышленнику удастся его скомпрометировать, он может получить дополнительную точку входа для атак на инфраструктуру.
Для защиты своих устройств производители активно применяют технологии доверенных сред выполнения (trusted execution environment, TEE), secure boot (технологию, помогающую предотвратить запуск неавторизованной прошивки), encrypted boot (технологию, позволяющую хранить прошивку в зашифрованном виде и расшифровывать ее непосредственно перед запуском) и др.
Стоимость проведения анализа защищенности в последнее время существенно растет, но и атакующие тоже не стоят на месте и осваивают новые подходы, ранее доступные лишь очень узкому кругу исследовательских лабораторий. Среди них — fault injection (метод тестирования, позволяющий путем создания искусственных сбоев находить в системе слабые места) и side‑channel analysis (анализ побочных каналов, в рамках которого используются не уязвимости, а информация о физических свойствах и процессах устройства, например о потребляемой мощности, электромагнитном излучении или времени выполнения им операций). Подчеркну, что даже среди исследовательских лабораторий использовать эти техники в качестве рабочего инструмента могут лишь единицы. Именно поэтому подход многих вендоров «безопасность через неведение*» пока еще работает, хоть и приводит зачастую к серьезным проблемам безопасности в случае успешной компрометации.
* Безопасность через неведение (security through obscurity) — подход к защите информационных систем, при котором разработчики пытаются обеспечить безопасность системы, скрывая ее внутреннее устройство, вместо того чтобы внедрять проверенные защитные механизмы.
Прогнозы на 2026-й: новые микроконтроллеры и новые вызовы
Прошлый год был отмечен выпуском нескольких отечественных микроконтроллеров на архитектуре RISC‑V. В 2026-м, вероятно, появятся как устройства на их основе, так и новые отечественные микроконтроллеры и даже процессоры. Однако ускорение разработки не должно достигаться за счет снижения уровня защищенности продукта. Мы уже наблюдали подобные ошибки у китайских вендоров, вышедших на рынок в середине 2010-х годов. Их продукты неоднократно содержали уязвимости, которые ранее уже выявлялись у более опытных производителей. Единственный вариант избежать этого — при разработке новых чипов сразу применять подход secure by design. Это приведет к то��у, что технологии защиты на уровне железа, такие как аппаратные корни доверия, будут распространяться во все более младшие модели чипов.
Исследование современных устройств становится все более высокотехнологичным процессом.
Проводить анализ защищенности смогут только лаборатории, обладающие значительным набором специализированного и дорогого оборудования, в которых есть эксперты, способные не только работать на нем, но и разрабатывать новые инструменты.
Полу‑ и инвазивные методы анализа, включая чтение памяти с помощью сканирующего электронного микроскопа, остаются сегодня передовым направлением и одновременно необходимым стандартом для качественного исследования устройств. Именно такую лабораторию мы создали в составе Positive Labs в 2025-м и планируем развивать в ближайшие годы.
Спасибо всем, кто читал и читает. В наступившем году будем и дальше писать про железо и софт, качественные LLM-ки, уязвимый блокчейн, ИИ в продуктах ИБ, душнить (но только по делу), рассказывать, как работаем и стараемся делать самый высокотехнологичный кибербез. Stay safe!
