Годы идут, ИТ стремительно развиваются, но что-то в этом мире остается неизменным. И это – «любимые» пентестерами «дыры» в информационной безопасности. Анализ результатов более 200 проектов 2024 года показал, что распространенные критичные проблемы вроде слабых паролей и устаревших версий ПО, о которых мы рыдаем сигнализируем из года в год в наших отчетах, все еще остаются актуальными для многих компаний, и все еще открывают хакеру путь к внутренней инфраструктуре, важным данным, значимым системам и другим активам.
В этом посте мы поделимся статистикой, примерами из практики и расскажем о самых распространенных проблемах информационной безопасности.
Мы выделили наиболее интересные численные показатели, больше цифр и диаграмм – в нашем годовом аналитическом отчете.
Как обычно, для удобства и наглядности мы разделили результаты по блокам в зависимости от типа работ.
Внешний пентест
Внешнее тестирование на проникновение направлено на поиск уязвимостей и недостатков с высоким уровнем критичности, которые могут позволить определить и реализовать успешные векторы получения доступа во внутреннюю сеть или к критичным внешним системам компании. При проведении работ моделируются действия потенциального внешнего нарушителя, не обладающего данными об инфраструктуре. Подобный подход позволяет получить независимую оценку эффективности методов и средств защиты информации в компании.
Основные результаты работ
Мы проанализировали результаты выполненных в 2024 году проектов по внешнему пентесту и пришли к выводу, что внешний периметр 91% изученных компаний уязвим к атакам, успешная реализация которых может привести к получению доступа во внутреннюю сеть, к чувствительным данным и/или критичным внешним системам и приложениям, а также к компрометации узлов внешнего периметра.
При этом всего у 12% компаний уровень защищенности внешнего периметра были оценен как высокий. То есть почти в каждой девятой компании на внешнем периметре имелись уязвимости и недостатки высокой и средней степени критичности, позволяющие получить доступ во внутреннюю сеть или к критичным внешним системам и данным.
Более того, для нанесения ущерба информационным и финансовым активам, а также репутации компании злоумышленнику далеко не всегда обязательно преодолевать внешний периметр.
Например, в одном из проектов в результате атаки Password Spraying были успешно получены учетные данные доменного пользователя, позволившие выполнить выгрузку адресной книги и провести повторную атаку подбора пароля, которая привела к получению учетных данных более 80 доменных пользователей. Эти учетные данные в свою очередь позволили получить доступ к различным критичным системам (системе 1С, внешней системе видеоконференцсвязи и др.) и чувствительной информации, в том числе к финансовой информации в содержимом почтовых ящиков сотрудников. При этом преодоление внешнего периметра для получения указанных доступов не требовалось.
Еще пример ситуации, при которой для нанесения ущерба финансовым и репутационным активам не требовалось преодоление внешнего периметра: в ходе проекта было обнаружено приложение с функциональностью записи пользователей на получение предоставляемых компанией услуг. Для подтверждения записи пользователь должен ввести единоразовый код из SMS. При этом в приложении имелись недостатки бизнес-логики, позволяющие обойти проверку кода и записать на получение услуг пользователей без их ведома. Таким образом, компания получает неактуальные заявки на услуги и не может адекватно оценить загрузку специалистов, а реальные пользователи лишаются возможности получить услугу.
Распространенные критичные уязвимости внешних периметров
Именно уязвимости и недостатки высокой степени критичности могут позволить определить и реализовать успешные векторы преодоления внешнего периметра. ТОП «критов» внешних периметров российских компаний в минувшем году получился такой:
Ни разу не было и вот опять: по классике на первых местах ТОПа, как и год назад, слабые пароли и уязвимости устаревших версий программного обеспечения. Именно эти две категории возглавляют топ-5 критичных уязвимостей уже более трех лет.
Пользователи по-прежнему используют слабые пароли и пароли по умолчанию вроде password, admin, user1, demo, простых последовательностей чисел и др., что упрощает проведение атак подбора учетных данных и получение доступа к критичным системам. А доступ к таким системам может позволить выполнить произвольный код на узлах внешнего периметра и получить доступ во внутреннюю сеть. Именно использование слабых паролей послужило начальной точкой успешного вектора в 19% случаев.
Вторая наша «любимая» проблема – использование ПО с известными уязвимостями. В минувшем году мы встречали на внешних периметрах уязвимые версии ПО Liferay, 1С-Битрикс, Pentaho, Cisco ExpressWay, CMS Битрикс, Microsoft Exchange, Avaya Aura, Jira и др. Уязвимости в устаревших версиях программного обеспечения стали началом успешного вектора преодоления внешнего периметра в 25% случаев.
Также хотим обратить внимание на уязвимости, приводящие к возможности проведения атак «Внедрение SQL-кода в запросы к базе данных», которые встретились в 24% проектов и стали отправной точкой почти четверти успешных векторов преодоления внешнего периметра (22% векторов).
Пример вектора с использованием атак внедрения SQL-кода:
В большинстве случаев на внешнем периметре присутствуют уязвимости и недостатки, позволяющие реализовать как минимум 2 вектора его преодоления.
А максимальное количество векторов в одном проекте составило 8, причем начальной точкой 3-х из них стала эксплуатация известных уязвимостей в устаревших версиях ПО, еще в 3-х – проблемы, связанные с использованием слабых паролей, и в 2-х – возможность проведения атак «Внедрение SQL-кода в запросы к базе данных». Это, в свою очередь, открывает больше возможностей для подготовки и реализации атак, а также повышает вероятность успешного преодоления внешнего периметра.
Дополнительные наблюдения
Дополнительно хотим поделиться некоторыми общими наблюдениями, на которые считаем важным обратить внимание.
Во-первых, отсутствие на внешнем периметре критичных уязвимостей и недостатков на момент проведения работ не гарантирует, что уровень защищенности не может снизиться в дальнейшем. Это связано с тем, что периметр компании не является статичным: появляются новые приложения и сервисы, которые могут быть подвержены уязвимостям и недостаткам. Например, обнаружение уязвимостей нулевого дня в используемых приложениях, изменение конфигурации внешних систем и др.
Во-вторых, мы по-прежнему наблюдаем сохранение настораживающей тенденции: выявленные в процессе тестирования уязвимости не устраняются и повторно обнаруживаются в ходе ретестов.
Однако есть и хорошие новости: некоторые компании серьезно подходят к защите своих информационных активов и проводят существенную работу по устранению выявленных в ходе пентестов уязвимостей и недостатков. Так, для трети компаний, на внешнем периметре которых не было обнаружено уязвимостей и недостатков, позволяющих получить доступ во внутреннюю сеть или к критичным данным и внешним системам, ранее неоднократно проводились работы по внешнему и внутреннему пентесту. Регулярное проведение таких работ позволило своевременно выявить и устранить критичные уязвимости и недостатки и таким образом повысить уровень защищенности как внешнего периметра, так и внутренней сети.
Поэтому хотим напомнить, что для обеспечения безопасности информационных активов важно своевременно устранять выявленные уязвимости и недостатки в соответствии с приведенными в отчете по итогам работ рекомендациями.
Внутреннее тестирование на проникновение
Внутреннее тестирование на проникновение направлено на проверку возможности повышения привилегий во внутренней сети, получения доступа к критичной информации или внутренним системам. При проведении работ моделируются действия потенциального нарушителя, получившего тем или иным способом доступ во внутреннюю сеть организации. Подобный подход позволяет получить независимую оценку эффективности методов и средств защиты информации в компании.
Основные результаты работ
В 91% проектов по внутреннему пентесту были достигнуты поставленные цели. В большинстве случаев основной целью было получение контроля над доменом. Однако заказчиками ставились и иные цели. Например - получение доступа к различным информационным системам и базам данных во внутренней сети, к инфраструктурам резервного копирования, виртуализации, VPN и SIEM и другим критичным системам. Подобный подход говорит о том, что компании уделяют все больше внимания защите своих информационных активов во внутренней сети, что не может не радовать.
Однако только в 9% случаев уровень защищенности внутренней сети был оценен как высокий. То есть в 9 из 10 компаний злоумышленник может повысить привилегии и/или получить доступ к различным критичным системам и данным во внутренней сети.
Распространенные критичные уязвимости внутренних сетей
Векторы повышения привилегий и получения доступа к различным системам и данным во внутренней сети начинаются с эксплуатации критичных уязвимостей и недостатков. В минувшем году во внутренних сетях наиболее часто нам встречались следующие криты:
Картина та же, что и с внешним периметром: главной проблемой внутренних сетей российских компаний в 2024 году внезапно стали слабые пароли и уязвимое ПО.
Тенденция использования слабых и повторяющихся паролей остается неизменной уже несколько лет. Именно недостатки, связанные с использованием слабых паролей, послужили началом успешного вектора получения контроля над доменом в 30% случаев.
Как говорится, самое уязвимое место в автомобиле – прокладка между рулем и сиденьем. Так и в нашем случае – человеческий фактор все так же остается одной из самых уязвимых составляющих.
Не менее существенным недостатком оказалось повторное использование паролей. Например, в некоторых проектах этот недостаток позволил получить контроль сразу над несколькими доменами с помощью одного вектора атаки. Так, в ходе работ мы скомпрометировали учетную запись пользователя, входившего в группу администраторов домена, и получили контроль над доменом. Далее полученные учетные данные были проверены в других доменах и оказались действительными, что привело к компрометации еще нескольких доменов.
Во внутренних сетях по-прежнему используется ПО с известными уязвимостями, например, MS17-010, CVE-2019-0708, CVE-2021-1675, CVE-2021-36942 и многими другими. Встречающиеся уязвимости открывают для злоумышленника возможности выполнения произвольного кода на узлах внутренней сети, в том числе с повышенными привилегиями, проведения атак «принуждение к аутентификации», чтения произвольных файлов на уязвимом узле без прохождения аутентификации.
Кроме того, актуальной проблемой внутренних сетей в 2024 году стала некорректная настройка ACL (Access control lists). Эксплуатация указанного недостатка может привести к компрометации различных систем и сервисов во внутренней сети и даже к получению контроля над доменом.
Также распространенными остаются недостатки, связанные с некорректной конфигурацией шаблонов сертификатов. Они послужили началом 19% успешных векторов.
Интересные особенности проектов по внутреннему пентесту
В минувшем году в рамках проектов по внутреннему пентесту мы решали разные нетиповые задачи, которые считаем важным упомянуть, так как успешная реализация подобных векторов проникновения также может повлечь существенный ущерб для компании. Поэтому не следует исключать их из рисков ИБ.
Так, в ходе ряда проектов мы проводили проверку возможности получения доступа на территорию заказчика путем клонирования пропусков сотрудников. В результате было выявлено, что компании, для которых проводились такие работы, используют устаревшие технологии, уязвимые к атакам дистанционного клонирования пропусков.
Например, в ходе одного из проектов мы успешно клонировали пропуск сотрудника ИТ-департамента и под покровом ночи вломились в серверную получили доступ к критичному объекту в офисе заказчика. При этом факт клонирования пропуска и проникновения постороннего человека на критичный объект не был замечен службой безопасности, а пропуск не был заблокирован.
Еще одна задача – анализ беспроводных сетей. В ряде случае мы проверяли возможность получения первичного доступа во внутреннюю сеть через беспроводные сети. Например, в одном из проектов удалось успешно подключиться к беспроводной сети, которая оказалась никак не изолирована от внутренней сети. Это позволило развить дальнейший вектор атаки и получить контроль над доменом.
Таким образом, использование уязвимых технологий беспроводных сетей и отсутствие корректных разграничений между сетями может позволить злоумышленнику получить доступ во внутреннюю сеть и развить вектор повышения привилегий.
Дополнительно отметим, что атаки с помощью беспроводных сетей могут проводиться без физического присутствия в офисе компании, и злоумышленник может находиться на удалении от беспроводных точек доступа.
Анализ защищенности веб- и мобильных приложений
Анализ защищенности веб- и мобильных приложений направлен на поиск максимального количества уязвимостей и недостатков, демонстрацию возможностей их эксплуатации, а также оценку уровня защищенности и последствий успешной эксплуатации обнаруженных уязвимостей. В ходе каждого проекта по анализу защищенности мобильных приложений проводится проверка приложений для двух операционных систем: iOS и Android.
Основные результаты работ
Как и в 2023 году, более половины проанализированных веб-приложений российских компаний было отмечено низким (28%) и средним (28%) уровнем защищенности. То есть по-прежнему более 50% приложений содержат уязвимости и недостатки, позволяющие нанести существенный ущерб информационным активам и репутации компании. Хотя бы одна критичная уязвимость была обнаружена в 46% исследованных приложений.
С мобилками ситуация обстоит лучше: высоким уровнем защищенности было отмечено 80% приложений для смартфонов. Однако здесь важно подчеркнуть одну вещь: многие приложения, получившие такую оценку, неоднократно исследовались нами на протяжении нескольких лет. Таким образом, высокие показатели уровня защищенности во многом были достигнуты благодаря регулярному проведению анализа защищенности и своевременному устранению выявленных уязвимостей и недостатков.
Кроме того, даже несмотря на положительную динамику, в мобильных приложениях по-прежнему присутствуют уязвимости и недостатки высокой и/или средней степени критичности, снижающие уровень защищенности и позволяющие нанести ущерб компании.
Распространенные уязвимости и недостатки веб-приложений
В 2024 году «ТОП-5» уязвимостей и недостатков веб-приложений получился следующий:
Как видно из гистограммы, картина в целом напоминает 2023 год: все так же на первых местах раскрытие отладочной и конфигурационной информации, некорректная реализация контроля доступа и XSS’ки.
Недостатки, связанные с раскрытием отладочной и конфигурационной информации, могут позволить злоумышленнику получить такие сведения, как переменные окружения, учетные данные, исходный код приложения, внутренние IP-адреса и прочие данные. Подобная информация в свою очередь позволяет упростить поиск известных уязвимостей и подготовку дальнейших атак.
Например, в одном из приложений подобные недостатки позволили нам обнаружить адреса тестовых стендов разработчиков, среди которых был публично доступный репозиторий Gitlab, раскрывающий исходный код серверной части приложения. Доступ к исходному коду позволяет хакеру провести его анализ и выявить имеющиеся уязвимости, которые могут быть использованы для последующих атак.
Также встречаются недостатки, раскрывающие исходный код клиентской части, доступ к которому может позволить злоумышленнику подготовить страницу, имитирующую страницу веб-приложения, и использовать ее для проведения атак на пользователей методами социальной инженерии.
Более того, такие недостатки сами по себе могут позволить реализовать угрозы, приводящие к существенному ущербу для информационных активов компании. Например, одно из исследованных приложений позволяло получить доступ к документации API, раскрывающей сценарий для получения доступа к переменным окружения, в том числе к ключу шифрования JWT-токена и парольной фразе. Эти данные позволили выполнить эксплуатацию другого недостатка, связанного с возможностью обхода механизмов аутентификации. В результате удалось сформировать корректный JWT-токен для другого пользователя и получить доступ к его данным.
Еще пример – в одном из проектов приложение раскрывало содержимое журналов аутентификации SAML с данными пользователей, включающими в себя ФИО, адреса электронной почты, роли и др.
Также злободневной проблемой остаются недостатки контроля доступа, про которые мы не однократно писали в аналитических отчетах. Напомним, что они могут привести к получению данных пользователей, повышению привилегий, чтению и изменению обрабатываемой в приложении информации, выполнению действий, недоступных из графического интерфейса.
Например, в одном из проектов эксплуатация таких недостатков позволила получить доступ к персональным данным пользователей (ФИО, номер телефона, паспортные данные, СНИЛС, адрес электронной почты).
Не стоит забывать, что некорректная реализация контроля доступа может привести к повышению привилегий и получению доступа к админской функциональности. Например, в одном из исследованных нами приложений проверка роли пользователя при входе в административный интерфейс осуществлялась путем направления запроса к серверной части, однако роль в ответе от сервера могла быть заменена. В результате нам удалось заменить стандартную роль на роль администратора и повысить таким образом привилегии.
Не менее опасными являются уязвимости, приводящие к возможности проведения атак «Межсайтовое внедрение сценариев (XSS)». В результате успешного проведения такой атаки могут быть реализованы следующие угрозы:
Стоит отметить, что успешная реализация подобной атаки может позволить злоумышленнику отобразить для пользователей произвольные изображения, текст и прочие данные, в том числе противоправного характера. Нелегитимная информация, размещенная на официальном ресурсе организации, может вводить пользователей в заблуждение, так как она будет восприниматься как информация из официального источника. Это в свою очередь может привести к репутационному ущербу для компании и распространению заведомо ложных данных, в том числе через средства массовой информации.
Disclamer: на иллюстрации изображен ПРИМЕР того, к чему может привести успешная «контекстная» атака «Межсайтовое внедрение сценариев (XSS)». Все возможные совпадения на картинке случайны – такое может произойти в любое время в любом месте.
Распространенные уязвимости и недостатки мобильных приложений
Как обычно, больше всего уязвимостей и недостатков было обнаружено в серверной части (72%). Это обусловлено в первую очередь тем, что эксплуатация уязвимостей клиентской части затруднительна, так как для нее зачастую требуется физический или удаленный доступ к устройству. 71% уязвимостей и недостатков серверной части был отмечен низкой сложностью эксплуатации, что говорит об отсутствии необходимости соблюдения каких-либо дополнительных условий для их успешной эксплуатации.
«ТОП» уязвимостей серверной части в 2024 году получился такой:
Об угрозах, которые несет в себе раскрытие отладочной и конфигурационной информации и недостатки контроля доступа, мы подробно говорили в разделе про веб-приложения, а также неоднократно писали в предыдущих аналитических отчетах и обзоре за 2023 год.
На третьем месте «ТОПа» в минувшем году оказались недостатки, связанные с использованием JWT-ключа по умолчанию. В 27% мобильных приложений для подписи JWT-токена с помощью алгоритма HS256 используется ключ по умолчанию. Такие ключи могут быть легко подобраны или получены из публичных источников, что может позволить злоумышленнику подделать токен и получить несанкционированный доступ к защищенным ресурсам. Использование предсказуемых ключей снижает уровень защищенности приложения и делает его уязвимым для дальнейших атак.
Для клиентской части мобильных приложений картина следующая:
Здесь все также по классике: в «ТОПе» остаются недостатки, связанные с отсутствием обфускации исходного кода, небезопасным хранением данных на устройстве и раскрытием чувствительных данных в исходном коде. Это говорит о том, что разработчики мобильных приложений из года в год допускают однотипные ошибки.
Стоит отметить, что подобные недостатки могут позволить злоумышленнику получить различную чувствительную информацию и использовать ее для подготовки и проведения дальнейших атак. Например, исследованные в минувшем году приложения сохраняли на устройстве различную информацию о пользователях, включая персональные данные, такие как ФИО, СНИЛС, дата рождения и прочие сведения.
Заключение
Итак, угадайте, про что мы хотим сказать в заключении? Правильно, напомнить все те же прописные истины ключевые моменты, о которых уже говорили годом ранее:
1. Лучший способ не допустить реализации угроз ИБ – это профилактика.
Именно постоянное отслеживание уровня защищенности внешней и внутренней инфраструктуры, мобильных и веб-приложений и своевременное устранение выявленных уязвимостей и недостатков позволяет обезопасить свои информационные активы и не допустить возникновение инцидентов ИБ.
2. Важно не только выявить, но и устранить найденные уязвимости и недостатки.
Нередки ситуации, когда при проведении ретестов мы обнаруживаем все те же баги, что и в ходе первоначальных работ. Это говорит о том, что, к сожалению, не всегда после пентеста или анализа защищенности компания проводит работы по устранению выявленных уязвимостей и недостатков. В таком случае смысл проведения пентеста просто теряется.
3. Одной из неизменных проблем все также остается та самая «прокладка между рулем и сиденьем» - человеческий фактор. И все также «безопасные» пароли прокладывают хакеру путь к информационным активам компаний из самых разных отраслей: ИТ, производство, госсектор, финансы, медиа и др. Поэтому важными составляющими обеспечения безопасности остаются обучение сотрудников основам ИБ и введение строгой парольной политики.
4. При анализе рисков ИБ не следует забывать о различных нетиповых ситуациях, например, возможности проникновения на территорию компании или получения доступа к внутренней сети через беспроводные сети.
Авторы: Анна Коваленко, технический писатель - аналитик отдела анализа защищенности центра противодействия кибератакам Solar JSOC, ГК "Солар"
Ирина Лескина, руководитель направления аналитики отдела анализа защищенности центра противодействия кибератакам Solar JSOC, ГК "Солар"