Около 70% приложений содержат критические уязвимости, которые позволяют киберпреступникам получить доступ к конфиденциальным данным организаций и пользователей, а также от имени жертвы совершать в уязвимых онлайн-сервисах различные операции.

© ComNews
19.05.2020

Таковы результаты анализа защищенности веб-приложений, принадлежащих организациям государственного и банковского сектора, сферы производства, информационных технологий, информационной безопасности и др., который провела компания "Ростелеком-Солар".

"Ростелеком-Солар" проанализировало более 30 веб-приложений в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности. Среди выбранных для анализа приложений - интернет-порталы компаний, системы дистанционного банковского обслуживания, CRM и др. Результаты исследования подтверждают, что критические и легко эксплуатируемые уязвимости содержат практически все анализируемые веб-приложения. Большая часть из них связана с отсутствием фильтрации поступающих данных на стороне веб-сервера, а также с недостатками на уровне бизнес-логики приложений.

Почти 70% веб-приложений оказались подвержены IDOR-уязвимостям (Insecure direct object references - небезопасные прямые ссылки на объекты). Эксплуатируя их, злоумышленник может методом перебора найти используемые в системе идентификаторы и получить несанкционированный доступ к данным пользователей. Чаще всего эта уязвимость встречается в веб-приложениях со сложной логической структурой - например, в системах дистанционного банковского обслуживания. Благодаря IDOR-уязвимостям киберпреступники получают информацию о транзакциях и состоянии счетов пользователей, а также могут изменить данные их профилей

Более 50% веб-приложений содержат недостатки в фильтрации поступающих на сервер данных, что дает возможность провести атаки типа XSS (Cross-Site Scripting - межсайтовое выполнение сценариев). Данные атаки, позволяют киберпреступнику внедрить в веб-страницу вредоносный JavaScript-код, который запустится в браузере жертвы при открытии страницы. Данный код, взаимодействуя с веб-сервером мошенников, может передавать cookie-файлы пользователя, в результате чего киберпреступник сможет авторизоваться на интернет-ресурсах под учетными данными жертвы и действовать от ее имени.

Еще 30% уязвимостей связаны с возможностью внедрения SQL-кода из-за отсутствия или некорректной фильтрации входящих запросов от пользователя. Таким образом мошенники получают контроль над базой данных организации и в том числе доступ к конфиденциальным данным клиентов (например, данным паспорта, кредитной карты, информации о транзакциях и т.п.), а также возможность менять их непосредственно на сервере.

Руководитель направления защиты онлайн-сервисов и Application Security управления информационной безопасности Softline Станислав Кумань считает, что результаты исследования применимы прежде всего к тем организациям, зрелость которых с точки зрения ИБ недостаточно высока: не выстроены процессы организации системы защиты информации, необходимые средства защиты не применяются вовсе либо несвоевременно обновляются. К таким организация относятся, по мнению Станислава Куманя, государственные организации и организации, которые не работают в онлайн-сфере. "Если же мы говорим, например, о представителях финансовой сферы, большая часть из них находится на высоком и среднем уровне зрелости. Банки и другие организации финансового сектора попадают под действия требований приказов ЦБ РФ. В частности, со стороны регуляторов к ним предъявляются жесткие требования в отношении безопасности системы ДБО (дистанционного банковского обслуживания - прим. ComNews). С целью минимизации рисков ИБ при разработке ПО применяются практики Security Development Lifecycle либо используются уже готовые решения от компаний, специализирующихся на разработке и внедрении систем ДБО, что позволяет закрыть наиболее популярные векторы уязвимости", - сообщает Станислав Кумань.

"Уязвимость типа IDOR не случайно входит в топ-10 OWASP. В наше время заявлять о полной безопасности какого-либо продукта на рынке крайне рискованно: на мой взгляд, в условиях современного рынка невозможно "вывести" продукт, который был бы полностью "секъюрным". На сегодняшний день высокая вероятность подобного рода уязвимостей связана с нехваткой кадров: нам нужны люди, которые встанут на стыке между ИБ и разработчиками", - считает директор департамента информационной безопасности Oberon Андрей Головин.

Эту информацию подтверждает и руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. Он утверждает, что эти уязвимости присутствуют в каждом третьем веб-приложении (37%) и, в частности, в каждой третьей системе дистанционного банковского обслуживания (31%), однако он считает, что доля таких уязвимостей снижается. "Если говорить о веб-ресурсах в целом, то по сравнению с предыдущим годом мы отмечаем снижение на 16 п.п., а если говорить про системы онлайн-банков, то снижение более существенное - на 32 п.п. Мы связываем такую динамику в первую очередь с внедрением процессов безопасной разработки и общим вниманием к проблемам защищенности веб-приложений, особенно в финансовой сфере. В целом в последний год мы отмечаем положительную динамику - в среднем число уязвимостей, приходящееся на одно веб-приложение снизилось в полтора раза. Однако мы все еще находим критически опасные уязвимости в каждом втором сайте (50%), а в среднем на одно веб-приложение сегодня приходится четыре уязвимости с высоким уровнем риска", - сообщает Евгений Гнедин. Он подчеркивает, что уязвимость типа IDOR возникает из-за того, что ссылка на страницу одного пользователя может отличаться от ссылки на страницу другого пользователя лишь одним идентификатором. "Если контроль доступа реализован разработчиками неэффективно или вовсе отсутствует, то злоумышленник может перебирать значения такого идентификатора в ссылке и заходить на страницы других пользователей, читать на них информацию, а возможно и изменять какие-то данные. Необходимо в первую очередь строго разграничивать привилегии пользователей для доступа к страницам на сайте, а также использовать сложно угадываемые идентификаторы для параметров в ссылках", - поясняет Евгений Гнедин.

По данным центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар" за 2019 г., количество атак на веб-приложения российских компаний и организаций увеличилось на 13%. "Эксплуатация уязвимостей веб-приложений является вторым по популярности инструментом киберпреступников для проникновения в инфраструктуру организации. По данным Solar JSOC, во втором полугодии 2019 г. его использовали в 24% случаев (годом ранее этот показатель составлял 19%). На первом месте было использование вредоносного ПО - 71% всех атак", - сообщают представители центра мониторинга и реагирования на кибератаки Solar JSOC компании "Ростелеком-Солар". По данным "Ростелеком-Солар", компании не уделяют достаточного внимания защищенности подобных ресурсов: каждый третий интернет-сайт имеет критическую уязвимость, позволяющую получить привилегированный доступ к серверу (web-shell).

"Число уязвимостей в приложениях ежедневно растет, - сообщает Станислав Кумань. - Для минимизации рисков эксплуатации уязвимостей нулевого и первого дня компаниям необходим комплексный подход к реализации системы информационной безопасности - NGFW, WAF, AntiAPT, VM, security configuration management (SCM). Использование эшелонированного подхода позволяет затормозить или остановить развитие атаки и помогает максимально снижать риски внешних проникновений. Более того, компании с высоким уровнем зрелости все чаще направляют свой взор на вопросы обеспечения безопасности ПО на всех этапах жизненного цикла, реализуя практики Application Security. Их применение позволяет минимизировать риски появления уязвимостей на каждом этапе релиза и предотвратить эксплуатацию ошибок в бизнес-логике приложений".

Консультант центра информационной безопасности компании "Инфосистемы Джет" Анатолий Коваленко утверждает, что веб-приложения очень часто попадают под атаки киберпреступников, так как могут являться для них как источником ценных данных о компании-разработчике и пользователях приложения, так и удобной входной точкой для проведения дальнейших атак. Однако, как считает Анатолий Коваленко, разработчики постепенно начинают осознавать значимость обеспечения информационной безопасности на всех этапах создания ПО. "В ходе проектов мы неоднократно фиксировали как повышение уровня безопасности инструментов разработки, так и увеличение качества и количества проверок на уязвимости. Однако общее количество выпускаемых приложений настолько велико, что случаев, когда в приоритет ставится функциональность, по-прежнему очень много. Это приводит к тому, что приложения, доступные конечным пользователям, часто содержат различные уязвимости, в том числе и IDOR", - сообщает он корреспонденту ComNews.

Руководитель отдела анализа защищенности "Ростелеком-Солар" Александр Колесов убежден, что защита веб-приложений - это задача разработчика. "Не стоит полностью полагаться на средства защиты - в частности, Web Application Firewall не может обнаружить атаки, направленные на уязвимости в логике работы приложения, например IDOR. Необходимо уже на этапе создания приложения соблюдать ключевые принципы безопасной разработки: всегда фильтровать поступающие от пользователя данные и проверять права доступа - на уровне Back-end, а не клиентского интерфейса. Кроме того, необходимо периодически проводить анализ защищенности приложения", - считает он.

"В 20% атак на юридические лица в 2019 г. объектами атаки становились именно веб-ресурсы. Вероятность успешной атаки достаточно велика, если организация не заботится о безопасности своих веб-ресурсов. Мы рекомендуем использовать межсетевой экран уровня приложения - web application firewall - и конечно же, регулярно выявлять и устранять уязвимости в коде веб-приложений", - информирует читателей ComNews Евгений Гнедин.

"Похищение корпоративных или личных данных для дальнейшего шантажа и других преступных действий - одна из наиболее частых целей кибератак", - предостерегает пользователей директор департамента информационной безопасности Oberon Андрей Головин. Он отмечает, что в последние месяцы значительно участились случаи атак на медучреждения, и напоминает об инциденте, произошедшем 22 марта, когда кибератаке подверглись данные одной из крупнейших сетей больниц в Европе Assistance publique - Hôpitaux de Paris. Ранее также подверглась атаке университетская больница города Брно в Чехии. В результате инцидента администрация учреждения была вынуждена отключить серверы и приостановить исследования. "Помимо очевидного общественного вреда из-за прекращения исследований, злоумышленники также могут похитить данные пациентов и использовать их для шантажа или продажи", - сообщает Андрей Головин.

Станислав Кумань считает, тем ни менее, что прямые атаки на крупные организации осуществляются не так часто, так как потенциальные жертвы, как правило, имеют довольно высокий уровень зрелости ИБ. Он поясняет, что ресурсы, затраченные на организацию проникновения, не всегда могут окупиться. Однако, как считает Станислав Кумань, при уходе российского бизнеса на удаленную работу стал заметен всплеск активности кибермошенников, которые увеличили число атак на компании, их сотрудников и контрагентов с использованием методов социотехнической инженерии и фишинга. Целью подобных взломов является получение информации, которая в дальнейшем позволит реализовать и развить таргетированную атаку на организацию. "Один из популярных методов, которым сейчас пользуются мошенники, - регистрация фишинговых доменов предприятий и реализация атаки "человек посередине". Злоумышленник вклинивается в переписку между контрагентами и общается со сторонами сделки от их имени, таким образом имея возможность получить конфиденциальную информацию либо напрямую вывести средства со счета компании", - предупреждает Станислав Кумань.

Новости из связанных рубрик