Хакер #305. Многошаговые SQL-инъекции
Специалисты Positive Technologies рассказали о результатах пентестов, проведенных в 2023 году. Оказалось, что практически во всех компаниях, где проводилось внутреннее тестирование, злоумышленники могли бы установить полный контроль над ИТ-инфраструктурой. Минимальный срок проникновения в локальную сеть составил один день.
Пентесты проводились в компаниях из различных отраслей, включая ИТ, финансы, промышленность, сферу услуг, телекоммуникации и ряд других. Цель тестирования — определить, сможет ли внешний или внутренний злоумышленник успешно атаковать организацию и реализовать недопустимое для бизнеса событие.
Оказалось, что в 63% организаций злоумышленник с низкой квалификацией мог проникнуть в локальную сеть извне, а в такой же доле организаций низкоквалифицированный внутренний нарушитель мог получить полный контроль над ИТ-инфраструктурой.
Суммарно в 96% проектов организации оказались уязвимыми перед злоумышленниками, которые могут проникнуть в их внутреннюю сеть. Самое быстрое проникновение в локальную сеть было осуществлено в первый день начала работ. В среднем специалистам требовалось 10 дней для получения доступа.
Почти во всех компаниях удалось получить учетные данные сотрудников и несанкционированный доступ к важной конфиденциальной информации, включая интеллектуальную собственность и служебную переписку, а также установить полный контроль над инфраструктурой. Например, в одном случае специалисты добились получения максимальных привилегий в домене Active Directory за 6,5 часов (в остальных этот показатель варьировался от 1 до 7 дней).
«Во всех организациях, где исследователи PT SWARM проводили внутреннее тестирование, удалось получить максимальные привилегии в домене, — говорит Григорий Прохоров, аналитик Positive Technologies. — В 90% случаев была верифицирована возможность реализации недопустимых событий, причем для этого не всегда требовался полный контроль над ИТ-инфраструктурой. Например, даже в компании, где не удалось проникнуть в локально-вычислительную сеть, была подтверждена возможность несанкционированного доступа к базе данных с персональными данными более 460 тысяч пользователей».
Также в отчете отмечается, что в ходе проведения внешних пентестов было обнаружено 423 уязвимости, из которых 34% представляли серьезную опасность.
Основными причинами неудовлетворительного состояния защищенности организаций были названы: устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики.
Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций.
Хуже того, в 21% случаев в системах заказчиков были обнаружены следы реальной компрометации, в том числе работающие веб-интерпретаторы командной строки или изменения в конфигурационных файлах. То есть настоящие злоумышленники ранее уже скомпрометировали ИТ-инфраструктуру организации.