57% веб-приложений компаний из отраслей финансов, IT, телекома, ритейла и других могут содержать критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса. Об этом сказано в результатах анализа защищенности российских компаний, который эксперты «Ростелеком-Солар» провели во втором полугодии 2020-го — первом полугодии 2021-го. К веб-приложениям авторы работы относили сайты, которые взаимодействуют с пользователями, например, электронную почту, личный кабинет, корпоративный портал для сотрудников.
— Плохо защищенное веб-приложение открывает злоумышленникам массу возможностей. Это может быть доступ в локальную сеть компании, контроль над сервером, нарушение работы самого приложения, распространение вредоносного ПО, кража базы данных и другое. При этом большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках, — сказал руководитель отдела анализа защищенности компании «Ростелеком-Солар» Александр Колесов.
Самые распространенные веб-уязвимости — это некорректная настройка прав доступа и раскрытие конфигурационных данных, сказано в исследовании. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить статус своей учетной записи до уровня администратора. При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения, а в журналах, помимо технической информации, он может найти и персональные данные клиентов и сотрудников организации.
телефон
К критическим уязвимостям относятся локальные пакеты и программы, которые действительно допускают запуск произвольного кода или повышение привилегий, отметил R&D директор Qrator Labs Михаил Левитин. Но чтобы осуществить этот запуск, необходим хотя бы непривилегированный, но всё же доступ к серверам, обратил внимание эксперт.
Предположим, одна уязвимость допускала запуск произвольного кода с правами администратора для локальных пользователей, но у злоумышленника не было доступа к серверу, привел пример Михаил Левитин. Спустя несколько лет могла быть обнаружена еще одна уязвимость, которая разрешает локальный доступ к серверу, но с правами обычного пользователя. И если хотя бы одна из этих «дыр» была залатана, проблем бы не произошло, сказал специалист. Но если сервер не обновляется, не перезагружается в течение нескольких лет, такие «дыры» начинают в нем накапливаться, и в конце концов в системе может случиться пробой, объяснил он.
Уязвимости в веб-приложениях компаний хакеры могут использовать для атак как на сами компании, так и на их клиентов, отметила аналитик Positive Technologies Яна Юракова. К примеру, это атаки типа magecart (вставляет на сайты вредоносный код для кражи данных клиентов при оформлении заказа), в ходе которых собираются персональные данные и сведения о платежных картах, и watering hole (заражения устройств узкой группы людей), в рамках которых распространяется вредоносное ПО. Даже если клиент компании воспользуется уязвимым веб-приложением, но не получит на свое устройство вредоносное ПО или не «отдаст» конфиденциальную информацию злоумышленникам, его могут атаковать методами социальной инженерии, предупредила Яна Юракова.
Благодаря уязвимостям в веб-приложениях мошенники могут получить доступ к базе данных, которая содержит всю необходимую для атаки информацию о клиенте, добавила аналитик. Проведенный Positive Technologies анализ защищенности веб-приложений показал, что в 92% случаев злоумышленник может проводить атаки на клиентов, а в 68% возможна утечка важных данных.
Как показывают исследования компании, примерно в семи из десяти объявлений в дарквебе, касающихся взлома сайтов, основной целью указано получение доступа к веб-ресурсу. При этом в 86% компаний существует хотя бы один вектор проникновения в локальную сеть, который связан с недостаточной защитой веб-приложений, утверждают в Positive Technologies.
Если злоумышленники взломают телефонию в банке, то смогут перенаправить входящие звонки в кредитную организацию на свои номера, отметил ведущий системный инженер Varonis Александр Ветколь. Это позволит им, например, «подтвердить» личность липового сотрудника и усыпить бдительность клиента.
Впрочем, зачастую злоумышленники не взламывают официальные структуры, а лишь имитируют их, в том числе используя горячие инфоповоды, указал эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев. Из последнего — волна регистраций фейковых ресурсов по выплате соцпособий, в том числе анонсированных в июне «путинских» пособий на школьников, указал начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Стабильно копируют сайты известных брендов: от торговых площадок (билеты, товары, доставка) до банков и госучреждений, добавил он.
Пользователям в интернете не стоит запускать подозрительные вложения, открывать письма и сообщения о баснословных выигрышах и невероятных акциях, напомнила Яна Юракова. Заходя на сайт, нужно перепроверить ссылки в адресной строке браузера. Для загрузки приложений на смартфон стоит использовать проверенные ссылки на официальных сайтах и не пытаться установить какое-либо ПО из мессенджера или на сайте, когда в официальном магазине приложений его нет. Загружая софт со сторонних и непроверенных ресурсов, можно получить в подарок программу-вымогатель, предупредила специалист. Самый эффективный способ избежать угрозы — не пользоваться сервисом и не предоставлять туда данные, если есть хоть малейшее сомнение, добавил Алексей Дрозд. Можно воспользоваться «аналоговой» версией нужного сервиса: прийти в отделение банка или офис компании и получить услугу лично.
Анна Устинова