Специалисты «Ростелеком-Солар» обнаружили, что больше половины (57%) современных веб-приложений содержат критические уязвимости. Это ставит под угрозу российские компании – с их помощью хакеры с легкостью могут проникать в их сети и красть корпоративную информацию, в том числе персональные данные сотрудников и клиентов.
Веб-приложения с «сюрпризом»
Больше половины современных веб-приложений содержат в себе критические уязвимости, что ставит под удар кибербезопасность отечественных компаний. Представители компании «Ростелеком-Солар» из сферы информационной безопасности сообщили CNews, что на долю «дырявых» веб-приложений приходится, по меньшей мере, 57% от их общего количества.
Данные основаны на анализе киберзащищенности российских компаний, проведенном специалистами «Ростелеком-Солар». С их слов, большинство веб-приложений открывают хакерам очень легкий путь к корпоративной информации, в том числе и конфиденциальной. В отдельных случаях с их помощью злоумышленники даже могут запускать произвольный код и полностью брать под контроль компьютеры и сети.
Свое исследование эксперты «Ростелеком-Солар» проводили на компаниях из целого ряда сфер. В перечень вошли финансовые организации, компании из энергетического комплекса, а также предприятия из сферы информационных технологий и телекоммуникаций.
Что не так с веб-приложениями
Под веб-приложениями авторы исследования подразумевают сайты, в той или иной степени взаимодействующие с пользователями. К ним относятся веб-клиенты электронной почты, интернет-банкинг, внутренний корпоративный портал компаний для ее сотрудников и т. д. Угрозу могут представлять даже интернет-магазины, популярность которых резко возросла в период пандемии коронавируса и вынужденного перевода многими компаниями своих сотрудников на удаленную работу.
По оценке специалистов «Ростелеком-Солар», веб-приложения с плохо проработанной безопасностью – это настоящий подарок для хакеров. С их помощью они могут получить доступ к локальной сети компании, перехватить контроль над сервером, запустить вредоносное ПО, украсть пароли и т. д.
«Большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках. Это делает веб-приложение одним из самых уязвимых элементов внешнего периметра», – сообщил CNews руководитель отдела анализа защищенности компании «Ростелеком-cолар» Александр Колесов.
Самые распространенные уязвимости веб-приложений
Эксперты выделили несколько наиболее часто встречающихся «дыр» в интерактивных веб-сайтах. В числе первых они назвали некорректную настройку прав доступа.
Эксплуатация данной уязвимости позволяет хакерам, к примеру, повышать права пользователя до уровня администратора. «Эта уязвимость связана со сложной логикой современных веб-приложений, которые включают в себя различную функциональность для большого количества пользовательских ролей», – уточнили CNews представители «Ростелеком-Солар».
Следует отметить, что подобного рода бреши встречаются не только в веб-приложениях, но и в операционных системах. В подобном, к примеру, замечена еще не вышедшая Microsoft Windows 11.
Вторая по популярности уязвимость веб-приложений – это раскрытие конфигурационных данных. Используя ее, хакер получает доступ к структуре веб-приложения. К ней относятся внутренние IP-адреса, API-ключи, отладочные сценарии, журналы приложений и т.д.
Данная уязвимость не менее опасна, чем первая. С ее помощью киберпреступник запросто может получить персональные данные клиентов сотрудников компаний – эти сведения нередко хранятся в упомянутых журналах приложений.
Подобная информация может оказаться полезной, например, конкурирующей компании. Контакты сотрудников могут быть переданы рекрутерам, а контакты клиентов могут упростить процесс их переманивания.
Взлом компаний для «чайников»
Специалисты «Ростелеком-Солар» считают, что в ряде случаев хакерам даже не нужно полностью контролировать веб-приложение, чтобы пробраться через них в сети компании-жертвы. Некоторые уязвимости позволяют сделать это проще и быстрее.
Эксперты привели в пример способ с подделкой запроса на стороне сервера. Эта брешь дает возможность отправлять от имени сервера запросы как к внешним, так и к внутренним ресурсам и извлекать закрытую информацию из системы. Эта уязвимость работает в тех веб-приложениях, которые при получении HTTP-сообщения или URL-адреса не проверяют адреса назначения перед отправкой запроса.
Также в некоторых системах эксперты нашли ошибки, позволяющие совершить атаку непосредственно на пользователя (например, межсайтовый скриптинг – XSS). Такие атаки работают по следующему принципу: в приложение внедряется JavaScript-код, который затем исполняется в браузере жертвы. Цели у хакеров могут быть разные: выполнение действий от имени пользователя, кража его личных данных, майнинг криптовалют и многое другое.
Не веб-приложениями едиными
Авторы исследования отмечают, что компаниям, которым не безразлична собственная кибербезопасность, следует опасаться не только веб-приложений. С их слов, для проникновения в корпоративную сеть они могут использовать VPN, удаленный рабочий стол (RDP) и другие системы удаленного доступа.
Популярность такого вида атак, как и веб-приложений, в период пандемии на фоне массового перехода на удаленную работу показала значительный рост. «Распространенным недостатком здесь являются отсутствие дополнительного фактора аутентификации при подключении к сервису, а также слабые и повторяющиеся пароли пользователей. Часто злоумышленники получают доступ в сеть через VPN-подключение с помощью ранее скомпрометированного пароля», – заявили CNews представители «Ростелеком-Солар».
Госсектор тоже в зоне риска
Хакеры атакуют не только российские частные компании, но и отечественный госсектор. В конце мая 2021 г. стало известно, что компьютерные сети российских федеральных органов исполнительной власти России (ФОИВ) подвергаются регулярным кибератакам с 2017 г. При этом хакерам годами удавалось не только не попадаться, но и тщательно заметать следы своего присутствия в сетях ФОИВов.
Как сообщили CNews представители «Ростелеком-Солар», стоявшие за атаками на госсектор хакеры проводили тщательную подготовку перед каждым взломом, что и помогало им оставаться незамеченными. Обнаружить их деятельность удалось лишь при попытке проведения ими в 2020 г. атаки на один из российских ФОИВов из списка клиентов центра противодействия кибератакам Solar JSOC («Ростелеком-Солар»).
При этом на момент публикации материала было известно лишь о факте многочисленных заранее спланированных атак. Кто стоит за ними, и какие данные удалось украсть хакерам, специалистам лишь предстоит выяснить.