Размер шрифта:
Межбуквенный интервал:
Изображения:
Отключить версию для слабовидящих close
BI.ZONE: 42% атак на веб‑приложения — удаленное исполнение кода
#утечка данных #уязвимости
BI.ZONE: 42% атак на веб‑приложения — удаленное исполнение кода

По данным исследования Threat Zone 2024, один из основных методов получения первоначального доступа в инфраструктуру — взлом публично доступных приложений. Специалисты BI.ZONE WAF проанализировали веб‑атаки, нацеленные на компрометацию публично доступных приложений, за первую половину 2024 года и выяснили, что почти три четверти атак были нацелены на CMS-, CRM- и вики‑системы, такие как «Битрикс», WordPress и Confluence.

Количество атак на перечисленные веб‑приложения эксперты связывают с комбинацией нескольких факторов. Во‑первых, эти приложения крайне распространены в компаниях всех отраслей и размеров. Во‑вторых, они часто обновляются и дополняются сторонними модулями. Это приводит к тому, что в них регулярно находят новые уязвимости, которые могут эксплуатировать злоумышленники. В‑третьих, эти приложения обычно доступны из интернета, а не только из инфраструктуры компании: сайты — для выполнения своей задачи, CRM- и вики‑системы — для удобства.

Эксперты выявили топ‑3 веб‑угроз, которые пытаются реализовать злоумышленники:

  1. RCE — 42% от общего трафика веб‑атак.
  2. Атаки, направленные на получение доступа к файлам конфигурации, баз данных и пр. (обход пути), — 16%.
  3. Кража пользовательских данных (межсайтовый скриптинг, расщепление HTTP‑запроса, загрязнение прототипа и пр.) — 15%.

Эксплуатация RCE‑уязвимостей представляет наибольшую угрозу не только по распространенности, но и по серьезности последствий. В случае успеха злоумышленники смогут получить полный контроль над целевой системой, включая возможность удалять, изменять конфиденциальные данные или получать доступ к ним и системным ресурсам. Ситуация усугубляется тем, что от появления в открытом доступе примера эксплуатации (PoC) до первой попытки использовать уязвимость для атаки проходят считаные часы — это подтверждают последние исследования.

«Важную роль в обеспечении безопасности играет оперативное устранение уязвимостей. Однако обновление ПО до последней версии, в которой исправлены ошибки, может вызывать сбои в работе приложения. В BI.ZONE WAF мы выстроили процессы R&D и реагирования так, чтобы выпускать правила для защиты от эксплуатации новых критических уязвимостей за 2–4 часа при наличии PoC, а без PoC — за 1–2 дня. Таким образом, пока клиент тестирует последнюю версию обновления, мы уже обеспечиваем его защиту», – Дмитрий Царев, Руководитель управления облачных решений кибербезопасности

Отраслевой анализ показывает, что RCE возглавляет топ веб‑угроз для большинства секторов экономики и ни в одном случае доля этой угрозы не опускается ниже 21%. В частности, самые высокие доли RCE‑атак от числа всех атак на отрасли зафиксированы в следующих сферах:

  • Профессиональные услуги — 58%.
  • Строительство и недвижимость — 50%.
  • Медиа — 49%.

Доля RCE‑атак становится все более заметной с 2020‑х годов. Если в 2010‑х злоумышленники зарабатывали на скомпрометированных веб‑приложениях, продавая доступ к ним на теневых форумах, то сейчас атакующие не могут рассчитывать на долгое присутствие на веб‑сервере из‑за частых обновлений и наличия защитных средств на конечных серверах. Поэтому злоумышленникам эффективнее использовать известные уязвимости для RCE‑атак, которые дают быстрый результат и позволяют получить удаленный доступ, не закрепляясь на конечном сервере веб‑приложения.