Названы ключевые уязвимости российских компаний в 2024 году

Компания «Нейроинформ» на базе данных своих клиентов провела исследование и выявила ключевые уязвимости российских компаний по итогам 2024 года. Отмечается, что злоумышленники регулярно пытаются найти уязвимости в ИТ-инфраструктуре, чтобы скачать важные данные или получить доступ к финансам и документам организаций.

Согласно исследованию, на первом месте среди уязвимостей оказалось отсутствие блокировки при переборе паролей и пользователей на веб – 64% от общего числа, на втором месте – отсутствие аутентификации с 12%, замыкает топ-3 – IDOR с 9%. Кроме это 5% составило исполнение загружаемого файла на сервере, а 3% – размещение поддоменов в одной среде не сервере.

Отсутствие блокировки при переборе паролей и пользователей на веб позволяет злоумышленнику использовать автоматизированные средства и готовые словари имен и паролей для беспрепятственного и длительного подбора аутентификационных данных пользователя. Благодаря этому злоумышленники получают доступ к аккаунту и осуществляют дальнейшее продвижение внутри веб-приложения. Чаще всего атака происходит из-за того, что пользователь создал короткий или легко отгадываемый пароль, при этом отсутствует обязательная двухфакторная аутентификация.

Когда отсутствует аутентификация, то мошеннику достаточно обойти один барьер защиты, а не два. Администраторы веб-ресурсов иногда забывают включить аутентификацию на доступ к файлам, которые содержат персональные или медицинские данные сотрудников и клиентов, а также на сетевом ПО, которое позволяет работать с ресурсами внутри сети компании. «Нейроинформ» приводит в пример случай, когда отсутствие аутентификации привело к тому, что компрометация внутренней сети компании произошла буквально за четыре минуты.

Часто бывает, что веб-приложение должно предоставлять доступ к похожим объектам, например, к аккаунтам пользователей или к файлам с документами. Для этого в конец URL-адреса помещается значение, которое по сути является ссылкой на данный объект. Уязвимость IDOR заключается в том, что такое значение представляет собой последовательно созданные числа, а не случайные идентификаторы, из-за чего злоумышленник может просто перебрать все возможные варианты и получить доступ к ресурсу. Такая утечка данных грозит компаниям крупным оборотным штрафом.

Исполнение загружаемого файла на сервере может привести к тому, что на нем будет стерта вся информация, а также к тому, что киберпреступник получит полную копию базы данных и доступ на сервер, откуда он может попасть во внутреннюю сеть компании.

А вот благодаря размещению поддоменов в одной среде на сервере мошенник без особых усилий и затрат времени получить полный контроль над еще несколькими веб-ресурсами, при том, что взлом был только одного из них. Это может привести к размещению сведений, порочащих репутацию компании, а также к краже баз данных.

«Уязвимости в инфраструктуре приводят к большим проблемам для российского бизнеса. Мы рекомендуем регулярно проводить пентесты и аудиты ИБ для выявления слабых мест, которые могут быть использованы злоумышленниками для атаки. Это позволит вовремя выявить недостатки и снизить киберриски», – сказал генеральный директор компании «Нейроинформ» Александр Дмитриев.

Ранее исследователи BI.ZONE Threat Intelligence зафиксировали активность группировки Bloody Wolf в декабре 2024 года. В числе пострадавших оказались компании из финансового сектора, ретейла, ИТ, транспорта и логистики.