Уязвимость нулевого дня (0-day, zero-day) — неизвестная разработчику уязвимость в ПО, для которой не существует исправления. Называется «нулевым днём», потому что у вендора 0 дней на подготовку патча — уязвимость уже эксплуатируется. Самый опасный класс угроз в информационной безопасности.
Как работает
Исследователь или злоумышленник обнаруживает уязвимость в программном обеспечении. До публикации или продажи уязвимости у вендора нет информации о проблеме, поэтому патча не существует. В этот период уязвимость эксплуатируется избирательно — против конкретных целей или продаётся на черном рынке.
Цикл жизни 0-day: обнаружение → эксплойт → использование против целей → обнаружение атаки → публикация CVE → патч → распространение патча. Период между обнаружением и патчем — «окно уязвимости». Средняя продолжительность — от нескольких дней до нескольких лет.
Рынок 0-day уязвимостей
Существует легальный рынок: bug bounty программы Google (до $1,5 млн за 0-day в Chrome), Microsoft, Apple. Теневой рынок: брокеры вроде Zerodium платят $2-2,5 млн за 0-day в iOS. Компании типа NSO Group разрабатывают эксплойты для государственных структур — Pegasus использовал несколько iOS 0-day.
История
Термин «zero-day» появился в хакерских BBS в 1990-х — сначала обозначал пиратский контент, доступный в день выхода. В контексте уязвимостей закрепился в 2000-х. Stuxnet (2010) — первое кибероружие, использовавшее четыре 0-day уязвимости Windows одновременно для атаки на иранские ядерные центрифуги. EternalBlue (2017) — 0-day от NSA, утечка Shadow Brokers, основа WannaCry и NotPetya.
Защита при 0-day
Полная защита от неизвестных уязвимостей невозможна. Снижение риска:
- Обновления — патчи закрывают известные уязвимости быстро. Включите автоматические обновления безопасности:
unattended-upgradesна Ubuntu. - Принцип наименьших привилегий — компрометация сервиса не даёт root.
- Сегментация сети — взломанный сервер не имеет доступа ко всей инфраструктуре.
- WAF и IPS — виртуальный патчинг: правила блокируют известные паттерны эксплойтов до выхода официального патча.
- Мониторинг — journalctl и SIEM выявляют аномальное поведение после компрометации.
На что обращать внимание
CVE-база содержит только публично раскрытые уязвимости. Активно эксплуатируемые 0-day попадают в CVE через CISA KEV (Known Exploited Vulnerabilities). Подпишитесь на рассылки безопасности использующегося ПО: nginx-announce, security.php.net, openssh-security. Резервные копии — единственная гарантия восстановления после успешной атаки через 0-day.
Программы раскрытия уязвимостей
Ответственное раскрытие (Responsible Disclosure): исследователь уведомляет вендора за 90 дней до публикации — стандарт Google Project Zero. Coordinated Vulnerability Disclosure (CVD): исследователь и вендор согласовывают дату публикации. Полное раскрытие: публикация без предварительного уведомления вендора — крайняя мера, когда вендор игнорирует отчёт.
Bug Bounty платформы: HackerOne, Bugcrowd, Intigriti. Российские: SolarWinds VRP, Positive Technologies Bug Bounty. Участие в bug bounty легально при соблюдении scope программы — исследователь тестирует только разрешённые системы.
Virtual Patching до выхода официального патча
Когда 0-day раскрыт, но патч ещё не выпущен, WAF-правило блокирует эксплойт на уровне сети. ModSecurity правило для Nginx блокирует запросы, содержащие паттерн эксплойта. Это не устраняет уязвимость, но предотвращает эксплуатацию до официального исправления. CISA KEV-каталог (Known Exploited Vulnerabilities) — приоритетный список 0-day в активной эксплуатации, обязателен для мониторинга.