/13260431/i_800.jpg)
По результатам исследования наиболее распространенной уязвимостью в 2024 году стало отсутствие блокировки при переборе паролей и пользователей на веб-ресурсах — 64% от общего числа уязвимостей. Кроме того, в тройку вошли отсутствие аутентификации – 12% от общего числа уязвимостей и небезопасная прямая ссылка на объект (Insecure Direct Object Reference, IDOR) – 9% от общего числа уязвимостей. Также довольно часто встречались другие уязвимости: исполнение загружаемого файла на сервере (5% от общего числа уязвимостей) и размещение поддоменов в одной среде не сервере (3% от общего числа уязвимостей).
Отсутствие блокировки при переборе паролей и пользователей на веб-ресурсах стало самой распространенной уязвимостью в 2024 году. Она позволяет злоумышленнику использовать автоматизированные средства и готовые словари имен и паролей для беспрепятственного и длительного подбора аутентификационных данных пользователя, чтобы получить доступ к аккаунту и осуществить дальнейшее продвижение внутри веб-приложения. Атака происходит из-за того, что пользователи создают короткие, простые и легко угадываемые пароли, а администраторы веб-ресурсов не делают обязательной двухфакторную аутентификацию (2FA) и не включают средства защиты, которые улавливают изменения трафика и блокируют попытки злоумышленника. Данная уязвимость чаще всего приводит к проникновению в административную панель управления веб-сайтом с последующей компрометацией сервера и внутренней сети компании.
Отсутствие аутентификации является еще одной распространенной уязвимостью. Если первая уязвимость позволяла злоумышленникам обойти барьер защиты на внешнем периметре веб-приложения, то в данном случае уязвимость заключается в отсутствии такого барьера. Администраторы веб-ресурсов иногда забывают включить аутентификацию на доступ к файлам, которые содержат персональные или медицинские данные сотрудников и клиентов, а также не сетевом ПО, которое позволяет работать с ресурсами внутри сети компании. В 2024 году эксперты «Нейроинформ» сталкивались и со случаями открытого в интернете прокси-сервера, что привело к компрометации внутренней сети компании буквально за 4 минуты, и с открытыми корпоративными дашбордами, на которых были отображены и персональные данные клиентов, и корпоративные проекты с операционными результатами.
Уязвимость IDOR также является серьезной проблемой для безопасности компаний. Часто бывает, что веб-приложение должно предоставлять доступ к похожим объектам – например, к аккаунтам пользователей или к файлам с документами. Для этого в конец URL-адреса помещается значение, которое по сути является ссылкой на данный объект. Уязвимость заключается в том, что такое значение представляет собой последовательно созданные числа, а не случайные идентификаторы, что позволяет злоумышленнику просто перебрать все возможные комбинации, получив доступ к медицинской, финансовой и персональной информации клиента веб-ресурса. Более того, хакер может получить доступ к корпоративным документам и файлам исходного кода веб-приложения с паролями администратора базы данных. В результате, помимо компрометации веб-сайта, компания попадает на крупные оборотные штрафы за утечку чувствительных данных клиентов.
Другие уязвимости также причинили российским компаниями много вреда в 2024 году. Исполнение загружаемого файла на сервере позволяет написать код, который сотрет всю информацию на сервере, пришлет злоумышленнику полную копию базы данных и предоставит доступ на сервер, с которого киберпреступник может проникнуть во внутреннюю сеть компании.
Размещение поддоменов в единой среде на сервере позволяет злоумышленнику без особых усилий и затрат времени получить полный контроль над еще несколькими веб-ресурсами, потратив время на взлом только одного из них. Такой контроль может привести к размещению сведений, порочащих репутацию компании, привести к краже баз данных этих ресурсов, и вывести из строя веб-приложения.
/13260219/i_144.jpg)
/13260168/i_144.jpg)
/13260087/i_144.jpg)
/13258721/i_144.jpg)
