Своевременное исправление уязвимостей считается одним из ключевых условий обеспечения кибербезопасности. И это абсолютно справедливо, однако это условие является необходимым, но не достаточным. Наглядным подтверждением можно считать сообщение специалистов компании S-RM, расследовавших кибератаку на системы одного из своих клиентов. В ходе этой атаки вымогательская группировка Lorenz инфицировала системы жертвы своим вымогательским ПО, воспользовавшись уязвимостью, которая была успешной исправлена за полгода до этого.

Речь идет о критической уязвимости CVE-2022-29499 в решениях канадской компании Mitel, разработчика телекоммуникационного оборудования, которое используется правительственными организациями и предприятиями критической инфраструктуры многих стран мира. Уязвимость была выявлена исследователями компании CrowdStrike в июне прошлого года, и на момент обнаружения являлась уязвимостью нулевого дня. Компания Mitel исправила уязвимость в июле, но у хакеров было «окно возможностей» в несколько дней для эксплуатации этой проблемы.

В большинстве случаев киберпреступники стремятся выжать максимум из представившейся им возможности и действуют очень быстро. Но в ситуации, описанной представителями S-RM, все обстоит иначе. Злоумышленники проэксплуатировали уязвимость CVE-2022-29499 в системах жертвы в те несколько дней, которые она оставалась неисправленной, и внедрили бэкдор, позаботившись о том, чтобы замаскировать его как можно тщательнее. А спустя 5 месяцев активировали этот бэкдор и с его помощью загрузили вымогательское ПО.

В точности неизвестно, почему хакеры группировки Lorenz взяли столь долгую паузу и какого момента они дожидались. Однако очевидно, что даже установка всех обновлений, ликвидирующих уязвимости, не может гарантировать стопроцентной защиты. Кроме этого необходим еще тщательный анализ всех логов, нетипичного трафика и странной активности в системах – особенно в периоды, предшествующие исправлению уязвимостей нулевого дня.