Цифровые ключи под ковриком: что обнаружили эксперты в 2023 году?

Эксперты Positive Technologies продолжают делиться итогами пентестов , проведенных для различных организаций в 2023 году. Согласно данным компании, каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.

Исследователи проанализировали результаты проектов по внутренним и внешним пентестам в российских организациях в различных отраслях: ИТ (25%), финансовой сфере (23%), промышленности (13%) и других. В ходе внешних пентестов в 2023 году было обнаружено 423 уязвимости, 34% из которых представляли серьезную опасность. Основными причинами неудовлетворительной защищенности организаций стали устаревшее программное обеспечение, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики.

Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены во время внутреннего пентеста в 38% организаций. Особое внимание следует уделить трендовым уязвимостям, которые уже используются в кибератаках или прогнозируются к эксплуатации в ближайшее время. Их необходимо устранять в первую очередь.

Основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети. Для предотвращения появления трендовых уязвимостей, эксперты Positive Technologies рекомендуют своевременно обновлять ПО и использовать системы управления уязвимостями.

В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. Такие атаки могут быть проведены нарушителем с базовыми знаниями и использованием общедоступных эксплойтов и автоматизированного ПО. Примером служит использование уязвимостей в Microsoft Exchange: одна для удаленного выполнения кода (CVE-2022-41082), другая для повышения привилегий (CVE-2022-41080). Эксплуатация такой комбинации уязвимостей позволяет злоумышленнику проникнуть в систему и повысить свои привилегии, что может привести к недопустимым для организации событиям.

Эксперты советуют компаниям усилить внимание к парольной политике, безопасности веб-приложений и уязвимостям сторонних продуктов, используемых в информационных системах. Для этого необходимо внедрять регулярный анализ защищенности, применять методы безопасной разработки и управления уязвимостями, а также использовать межсетевые экраны уровня приложений. Кроме того, важна установка систем мониторинга инфраструктуры.