Злоумышленники регулярно пытаются найти уязвимости в ИТ-инфраструктуре российских компаний, чтобы скачать важные данные или получить доступ к финансам и документам организаций. Эксперты компании «Нейроинформ» выявили ключевые уязвимости российских компаний по итогам 2024 г. Для анализа были использованы данные клиентов «Нейроинформ».

По результатам исследования в топ-3 наиболее распространенных уязвимостей в бизнесе в 2024 г. вошли отсутствие блокировки при переборе паролей и пользователей на веб (64% от общего числа уязвимостей), отсутствие аутентификации (12% от общего числа уязвимостей) и IDOR (9% от общего числа уязвимостей). Также довольно часто встречались другие уязвимости: исполнение загружаемого файла на сервере (5% от общего числа уязвимостей) и размещение поддоменов в одной среде не сервере (3% от общего числа уязвимостей).

Отсутствие блокировки при переборе паролей и пользователей на веб стало самой распространенной уязвимостью в 2024 г. Она позволяет злоумышленнику использовать автоматизированные средства и готовые словари имен и паролей для беспрепятственного и длительного подбора аутентификационных данных пользователя, чтобы получить доступ к аккаунту и осуществить дальнейшее продвижение внутри веб-приложения. Атака происходит из-за того, что пользователи создают короткие, простые и легко угадываемые пароли, а администраторы веб-ресурсов не делают обязательной двухфакторную аутентификацию (2FA) и не включают средства защиты, которые улавливают изменения трафика и блокируют попытки злоумышленника. Данная уязвимость чаще всего приводит к проникновению в административную панель управления веб-сайтом с последующей компрометацией сервера и внутренней сети компании.

Отсутствие аутентификации было еще одной распространенной уязвимостью в 2024 г. Если первая уязвимость позволяла злоумышленникам обойти барьер защиты на внешнем периметре веб-приложения, то в данном случае уязвимость заключается в отсутствии такого барьера. Администраторы веб-ресурсов иногда забывают включить аутентификацию на доступ к файлам, которые содержат персональные или медицинские данные сотрудников и клиентов, а также несетевом ПО, которое позволяет работать с ресурсами внутри компании. В 2024 г. эксперты «Нейроинформ» сталкивались и со случаями открытого в интернет прокси сервера, что привело к компрометации внутренней сети компании буквально за 4 минуты, и с открытыми корпоративными дашбордами, на которых были отображены и персональные данные клиентов, и корпоративные проекты с операционными результатами.

Уязвимость IDOR также являлась серьезной проблемой для безопасности компаний по итогам прошлого года. Часто бывает, что веб-приложение должно предоставлять доступ к похожим объектам, например, к аккаунтам пользователей или к файлам с документами. Для этого в конец URL помещается значение, которое по сути является ссылкой на данный объект. Уязвимость заключается в том, что такое значение представляет собой последовательно созданные числа, а не случайные идентификаторы, что позволяет злоумышленнику просто перебрать все возможные комбинации, получив доступ к медицинской, финансовой и персональной информации клиента веб-ресурса. Более того, хакер может получить доступ к корпоративным документам и файлам исходного кода веб-приложения с паролями администратора базы данных. В результате, помимо компрометации веб-сайта, компания попадает на крупные оборотные штрафы за утечку чувствительных данных клиентов.

Другие уязвимости также причинили российским компаниями много вреда в 2024 г. Исполнение загружаемого файла на сервере позволяет написать код, который сотрет всю информацию на сервере, пришлет злоумышленнику полную копию базы данных и предоставит доступ на сервер, с которого киберпреступник может проникнуть во внутреннюю сеть компании.

Размещение поддоменов в одной среде на сервере позволяет злоумышленнику без особых усилий и затрат времени получить полный контроль над еще несколькими веб-ресурсами, потратив время на взлом только одного из них. Такой контроль может привести к размещению сведений, порочащих репутацию компании, привести к краже баз данных этих ресурсов, и вывести из строя веб-приложения.

«Уязвимости в инфраструктуре приводят к большим проблемам для российского бизнеса. Мы рекомендуем регулярно проводить пентесты и аудиты ИБ для выявления слабых мест, которые могут быть использованы злоумышленниками для атаки. Это позволит вовремя выявить недостатки и снизить киберриски», – отметил Александр Дмитриев, генеральный директор компании «Нейроинформ».

Короткая ссылка