За прошедший год специалисты «Информзащиты» провели анализ защищенности более 50 организаций из различных отраслей: ритейл, банки и финансы, девелопмент, государственные учреждения, телеком.
Результаты тестов на проникновение показали следующее: внешний периметр большинства заказчиков является относительно защищенным, и лишь 20% клиентов имеют более серьезные уязвимости. А вот с внутренним периметром, по мнению экспертов «Информзащиты», дела обстоят несколько хуже: здесь встречаются критические уязвимости 2008 года. Эксперты связывают это с тем, что, с одной стороны, клиенты используют старое программное обеспечение, которое более не поддерживается и не проходит тестирование на совместимость с обновлениями безопасности. С другой стороны, осведомленность сотрудников в области ИБ остается по-прежнему низкой, что позволяет злоумышленникам с хорошей фантазией и без специальных знаний получить доступ к внутренней сети, используя методы социальной инженерии.
Захар Федоткин, начальник отдела анализа защищенности компании «Информзащита»: «Из диаграммы видно, что более половины компаний относятся к финансовому сектору. Такое распределение объясняется тем, что финансовый сектор в большей степени заинтересован в пентестах по двум причинам: требования регуляторов (в частности, Стандарт PCI DSS) и возможные финансовые потери, напрямую связанные с уровнем защищенности компании».
[tooltip style="dark" shadow="yes" rounded="yes" content="Выявленные более чем у 15% клиентов в 2014 году"]Наиболее распространенные[/tooltip] и опасные уязвимости в публичных веб-приложениях (внешний периметр) по классификации международной организации OWASP
Из рисунка видно, что наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг). Данный тип уязвимости встречался в 38% проанализированных приложений, то есть практически в каждом третьем сайте. Вторыми по популярности стали уязвимости типа Using Components with Known Vulnerabilities (использование компонентов с известными уязвимостями) и Security Misconfiguration (небезопасная конфигурация веб-приложения или его окружения), которые были выявлены у 25% клиентов. Наименее распространенной оказалась уязвимость Broken Authentication and Session management (небезопасное использование данных сеанса при работе с веб-приложением), которая обнаружилась у 19% клиентов.
Захар Федоткин: «Уязвимость Cross-Site Scripting до сих пор многие считают несерьезной, не уделяя ей должного внимания. Мы считаем это в корне неверным подходом, поскольку данная уязвимость позволяет получить доступ к чувствительным данным, а также выполнять действия от имени пользователя».
[tooltip style="dark" shadow="yes" rounded="yes" content="Выявленные более чем у 20% клиентов в 2014 году"]Наиболее распространенные[/tooltip] уязвимости сетевого уровня
Уязвимость к атаке ARP Cache Poisoning встречалась в 60% проанализированных приложений, в то время как уязвимость к атаке STP Claiming Root Role была выявлена лишь у 20% клиентов.
Захар Федоткин: «Как мы видим, 60% клиентов не рассматривают всерьез действия потенциального внутреннего злоумышленника. Такая уязвимость делает возможным осуществление атаки типа MITM («человек посередине»)».
[tooltip style="dark" shadow="yes" rounded="yes" content="Выявленные более чем у 30% клиентов в 2014 году"]Наиболее распространенные[/tooltip] уязвимости уровня приложений
При анализе внутреннего периметра чаще всего встречалась уязвимость типа «Использование учетных записей по умолчанию», выявленная у 70% клиентов. Вторая по распространенности уязвимость – SNMP-community строки по умолчанию, выявленная у 50% клиентов. Чуть реже встречалась уязвимость «Открытый доступ к серверу X11» – в 40% случаев. Далее по нисходящей следуют уязвимости MS08-067: уязвимость в сервисе SMB – также 40% и MS09-004: уязвимость СУБД MSSQL – только 30%. При этом уязвимость MS08-067 делает возможным удаленное выполнение кода при получении уязвимой системой специально созданного RPC-запроса. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью и запустить произвольный код без прохождения проверки подлинности, а также посредством вирусов-червей или специально созданных средств.
Уязвимость MS09-004 позволяет исполнять произвольный код в рамках ОС и получить полный доступ к ней можно путем эксплуатации некорректной проверки параметров в хранимой процедуре sp_replwritetovarbin.
Остальные, менее значимые, но при этом достаточно распространенные:
- Уязвимость Oracle TNS Listener Poison – выявлена у 30% клиентов;
- Уязвимый сервис VxWorks WDB Debug – выявлена у 30% клиентов;
- Web Proxy Auto Discovery (MITM) – выявлена у 30% клиентов.