Анна
Устинова
22.07.2021

Более половины (57%) веб-приложений банков, операторов и интернет-магазинов могут быть не защищены от хакерских атак. Они содержат критические уязвимости, которые позволяют злоумышленникам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса.

Такие выводы сделали эксперты "Ростелеком-Солар" на основе анализа защищенности российских компаний. С исследованием ознакомились "Известия". Эксперты указывают, что критические уязвимости имеют накопительный эффект — "дыры" в серверах появляются вновь и вновь, и в конце концов в системе может случиться пробой.

Накопительный дефект

57% веб-приложений компаний из отраслей финансов, IT, телекома, ритейла и других могут содержать критические уязвимости, которые позволяют хакерам похищать конфиденциальные данные, запускать произвольный код и полностью контролировать работу атакуемого ресурса. Об этом сказано в результатах анализа защищенности российских компаний, который эксперты "Ростелеком-Солар" провели во втором полугодии 2020-го — первом полугодии 2021-го. К веб-приложениям авторы работы относили сайты, которые взаимодействуют с пользователями, например, электронную почту, личный кабинет, корпоративный портал для сотрудников.

— Плохо защищенное веб-приложение открывает злоумышленникам массу возможностей. Это может быть доступ в локальную сеть компании, контроль над сервером, нарушение работы самого приложения, распространение вредоносного ПО, кража базы данных и другое. При этом большинство уязвимостей и недостатков, которые мы находим в ходе тестирований на проникновение, имеют достаточно низкую сложность эксплуатации, то есть провести удачную атаку с их помощью могут даже хакеры-любители, не говоря уже о профессиональных киберпреступниках, — сказал руководитель отдела анализа защищенности компании "Ростелеком-Солар" Александр Колесов.

Самые распространенные веб-уязвимости — это некорректная настройка прав доступа и раскрытие конфигурационных данных, сказано в исследовании. Некорректная настройка прав доступа позволяет пользователю выполнять действия, на которые у него не должно быть прав, например, повысить статус своей учетной записи до уровня администратора. При раскрытии конфигурационных данных злоумышленник получает информацию о структуре веб-приложения, а в журналах, помимо технической информации, он может найти и персональные данные клиентов и сотрудников организации.

К критическим уязвимостям относятся локальные пакеты и программы, которые действительно допускают запуск произвольного кода или повышение привилегий, отметил R&D директор Qrator Labs Михаил Левитин. Но чтобы осуществить этот запуск, необходим хотя бы непривилегированный, но всё же доступ к серверам, обратил внимание эксперт.

Предположим, одна уязвимость допускала запуск произвольного кода с правами администратора для локальных пользователей, но у злоумышленника не было доступа к серверу, привел пример Михаил Левитин. Спустя несколько лет могла быть обнаружена еще одна уязвимость, которая разрешает локальный доступ к серверу, но с правами обычного пользователя. И если хотя бы одна из этих "дыр" была залатана, проблем бы не произошло, сказал специалист. Но если сервер не обновляется, не перезагружается в течение нескольких лет, такие "дыры" начинают в нем накапливаться, и в конце концов в системе может случиться пробой, объяснил он.

Мышка на пульсе

Уязвимости в веб-приложениях компаний хакеры могут использовать для атак как на сами компании, так и на их клиентов, отметила аналитик Positive Technologies Яна Юракова. К примеру, это атаки типа magecart (вставляет на сайты вредоносный код для кражи данных клиентов при оформлении заказа), в ходе которых собираются персональные данные и сведения о платежных картах, и watering hole (заражения устройств узкой группы людей), в рамках которых распространяется вредоносное ПО. Даже если клиент компании воспользуется уязвимым веб-приложением, но не получит на свое устройство вредоносное ПО или не "отдаст" конфиденциальную информацию злоумышленникам, его могут атаковать методами социальной инженерии, предупредила Яна Юракова.

Благодаря уязвимостям в веб-приложениях мошенники могут получить доступ к базе данных, которая содержит всю необходимую для атаки информацию о клиенте, добавила аналитик. Проведенный Positive Technologies анализ защищенности веб-приложений показал, что в 92% случаев злоумышленник может проводить атаки на клиентов, а в 68% возможна утечка важных данных.

Как показывают исследования компании, примерно в семи из десяти объявлений в дарквебе, касающихся взлома сайтов, основной целью указано получение доступа к веб-ресурсу. При этом в 86% компаний существует хотя бы один вектор проникновения в локальную сеть, который связан с недостаточной защитой веб-приложений, утверждают в Positive Technologies.

Служба подделки

Если злоумышленники взломают телефонию в банке, то смогут перенаправить входящие звонки в кредитную организацию на свои номера, отметил ведущий системный инженер Varonis Александр Ветколь. Это позволит им, например, "подтвердить" личность липового сотрудника и усыпить бдительность клиента.

Впрочем, зачастую злоумышленники не взламывают официальные структуры, а лишь имитируют их, в том числе используя горячие инфоповоды, указал эксперт по кибербезопасности "Лаборатории Касперского" Виктор Чебышев. Из последнего — волна регистраций фейковых ресурсов по выплате соцпособий, в том числе анонсированных в июне "путинских" пособий на школьников, указал начальник отдела информационной безопасности "СерчИнформ" Алексей Дрозд. Стабильно копируют сайты известных брендов: от торговых площадок (билеты, товары, доставка) до банков и госучреждений, добавил он.

Пользователям в интернете не стоит запускать подозрительные вложения, открывать письма и сообщения о баснословных выигрышах и невероятных акциях, напомнила Яна Юракова. Заходя на сайт, нужно перепроверить ссылки в адресной строке браузера. Для загрузки приложений на смартфон стоит использовать проверенные ссылки на официальных сайтах и не пытаться установить какое-либо ПО из мессенджера или на сайте, когда в официальном магазине приложений его нет. Загружая софт со сторонних и непроверенных ресурсов, можно получить в подарок программу-вымогатель, предупредила специалист. Самый эффективный способ избежать угрозы — не пользоваться сервисом и не предоставлять туда данные, если есть хоть малейшее сомнение, добавил Алексей Дрозд. Можно воспользоваться "аналоговой" версией нужного сервиса: прийти в отделение банка или офис компании и получить услугу лично.

Новости из связанных рубрик