Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Positive Technologies проанализировали уровень защищенности корпоративных информационных систем и представили обзор наиболее распространенных недостатков безопасности, методов атак, а также рекомендации по повышению уровня защищенности. Для проведения исследования были отобраны 28 выполненных в 2019 году работ по внешнему тестированию на проникновение инфраструктуры тех компаний, которые разрешили использовать обезличенные данные. В выборку вошли только наиболее информативные проекты, чтобы получить объективные результаты.
Исследование компании выявило, что получение доступа к ресурсам в локальной сети возможно для 93% компаний. Причем 77% векторов атак связаны с недостаточной защитой веб-приложений, и для проникновения в локальную сеть может потребоваться всего 30 минут.
Среди протестированных в 2019 году компаний организации финансового сектора (32%), IT (21%), топливно-энергетический комплекс (21%), государственные учреждения (11%), сфера услуг (7%), промышленность (4%) и телекоммуникации (4%).
Как уже было сказано выше, в ходе внешних пентестов специалистам удалось получить доступ к локальной сети 93% организаций. Максимальное число векторов проникновения, выявленное в одном проекте, составило 13.
Как обнаружили эксперты, проникновение в локальную сеть занимает от 30 минут до 10 дней. В большинстве случаев сложность атаки оценивалась как низкая, то есть ее мог бы осуществить даже низкоквалифицированный хакер, который обладает лишь базовыми навыками. По крайней мере один простой способ проникновения существовал в сетях 71% компаний.
Наибольшее количество атак было направлено на подбор учетных данных и на эксплуатацию уязвимостей веб-приложений. В 68% компаний успешные атаки на веб-приложения были проведены с помощью подбора учетных данных.
«Самым уязвимым компонентом на сетевом периметре являются веб-приложения, — отмечает руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева. — По данным анализа, в 77% случаев векторы проникновения были связаны с недостатками защиты веб-приложений; хотя бы один такой вектор был выявлен в 86% компаний.
Необходимо регулярно проводить анализ защищенности веб-приложений. Самым эффективным методом проверки является анализ исходного кода, который позволяет найти наибольшее количество ошибок. Для превентивной защиты веб-приложений рекомендуется использовать межсетевой экран уровня приложений (web application firewall, WAF), который позволяет предотвратить эксплуатацию существующих уязвимостей, даже если они еще не были обнаружены».
Также в 86% компаний были выявлены недостатки парольной политики критического и высокого уровней риска. Простые и словарные пароли пользователей стали основными недостатками защиты на сетевом периметре.
Одним из самых популярных оказался пароль, в котором использовались комбинации месяца и года в латинской раскладке (например, Jrnz,hm2019 или Fduecn2019). Такие пароли встречались в каждой третьей компании, а в одной организации они были подобраны для более чем 600 пользователей.
В ходе тестирования широко эксплуатировались известные уязвимости ПО, которые позволили проникнуть в локальные сети 39% компаний, например уязвимости в устаревших версиях Laravel и Oracle WebLogic Server. Кроме того, были найдены шесть уязвимостей нулевого дня, которые позволяют удаленно выполнить произвольный код, в том числе CVE-2019-19781 в ПО Citrix Application Delivery Controller (ADC) и Citrix Gateway.
Эксперты Positive Technologies напоминают, что важно своевременно устанавливать обновления безопасности для ОС и последние версии ПО, а также обеспечивать регулярный контроль появления ПО с известными уязвимостями на периметре корпоративной сети.