Последнее время ни дня не проходит без новостей о новых найденных уязвимостях в том или ином ПО.  И если раньше с момента их публикации до эксплуатации проходило 1,5 – 2 года, сегодня – уже пара часов. Мы регулярно проводим сканирование инфраструктуры для разных компаний, и не понаслышке знаем, какое количество стандартных и экзотических уязвимостей можно встретить. Львиная доля ошибок связана со скупым или вовсе отсутствующим патч-менеджментом, кривым шифрованием и устаревшими сертификатами безопасности. Но не только с этим. Результаты проведенных нами работ вы найдете в этом посте. Ну, а мы, как и раньше, призываем выявлять и устранять - сегодня это актуально как никогда.

Что и как мы проверяли

В основе отчета – итоги проведенных в 2021 году работ "Ростелеком-Солар" по контролю уязвимостей на сетевых периметрах и в веб-приложениях более, чем 50 организаций из различных отраслей (ИТ, промышленность, ритейл, медицина, госструктуры).

Мы проводили инструментальное сканирование в режимах Blackbox и Whitebox. Первый вариант проводится без использования учетных записей и авторизации. В этом случае сканер может обнаружить уязвимости только в доступных ему сетевых сервисах, проверив текущую защищенность хоста на основании баннеров, ответов на специально сконфигурированные запросы и т. п. Как правило, Blackbox чаще используют при сканировании внешнего периметра.

Второй вариант – сканирование с использованием учетных записей и авторизации. В этом случае сканер проверяет не только внешние интерфейсы, но и получает авторизованный доступ к установленному ПО, реестру и т. д. Это существенно расширяет область проверки и позволяет выявить наличие необходимых обновлений и актуальных уязвимостей (например, ошибки в конфигурации сервисов или возможности нелегитимного повышения привилегий). Поэтому Whitebox чаще используется для сканирования внутреннего периметра.

Что мы нашли на сетевых периметрах

Ключевой проблемой сетевых периметров оказалось банальное отсутствие обновлений ПО и ОС, что указывает на явные проблемы с патч-менеджментом.

Топ-5 проблем сетевого периметра выглядят так:

65% – уязвимости, связанные с отсутствующими обновлениями безопасности ПО (security updates);

14% – уязвимости, связанные с шифрованием передаваемых данных и используемыми протоколами (SSL/TLS);

7% – уязвимости, позволяющие злоумышленнику выполнять произвольный код (code execution);

6% – уязвимости, связанные с используемыми SSL-сертификатами (SSL certificate);

6% – уязвимости, приводящие к долговременному отказу оборудования (DOS);

2% – остальное.

Внутренний периметр

Если говорить про внутренний сетевой периметр, то в ходе работ на нем было обнаружено 147 133 уязвимости. Из них уникальных – 7527 (5 %). Большая часть (95%) уникальных уязвимостей имеет уровень критичности выше среднего. При этом многие критические ошибки имеют опубликованный эксплойт, что значительно упрощает жизнь злоумышленника.

Для 79% найденных недостатков существуют способы устранения (патчи, руководства по устранению/исправлению и т. п.). Остальные уязвимости представляют собой end-of-life программы, проблемы с шифрованием и сертификатами, использование устаревших протоколов, некоторые типы RCE и прочие уязвимости, которые невозможно закрыть патчем. В этих случаях требуются новые настройки или замена ПО и сертификатов.

Основные проблемы внутреннего сегмента связаны с:

• шифрованием;

• обновлениями безопасности ПО;

• парольным и пользовательским учетом.

Мы также встретили немало трендовых уязвимостей, об опасности которых говорили не только в ИБ-сообществе, но даже в СМИ.  Это такие «звезды», как Log4j, BlueKeep, ShellShock, PrintNightmare, ProxyShell, EternalBlue.  

В инфраструктурах разных компаний часто встречаются  уязвимости старше 20 лет, в среднем же окно возможностей злоумышленника составляет 10–12 лет (разница между наиболее старой и наиболее новой уязвимостью с эксплойтом, обнаруженной в инфраструктуре).

Внешний периметр

В ходе работ по сканированию внешнего сетевого периметра было обнаружено 1478 уязвимостей, из которых 262 – уникальные, то есть 18%. Большая часть (82%) уникальных уязвимостей имеют уровень критичности выше среднего. Еще 20% – средний уровень, 8% – минимальный.

Для 73% обнаруженных уязвимостей существуют способы устранения (патчи, руководство по устранению/исправлению и т. п.).

Во внешнем сегменте самые распространенные проблемы связаны с:

• шифрованием;

• настройкой и обновлением веб-серверов.

Кстати, трендовых уязвимостей на внешних периметрах компаний мы не обнаружили. Зато регулярно фиксируем проблемы с инвентаризацией ИТ-активов (компании не знают весь свой пул внешних адресов) и критическое количество уязвимостей, связанных с неправильной настройкой или полным отсутствием шифрования данных.

Что мы нашли в веб-приложениях

В ходе работ по сканированию веб-приложений было обнаружено 4893 уязвимости. Из них 38 – уникальные, то есть менее 1%. Большая часть (55%) уникальных уязвимостей имеют уровень критичности выше среднего. Еще 24% – средний уровень, 21% – минимальный.

Топ-5 проблем в веб-приложениях:

56% – использование уязвимых и устаревших компонентов;

23% – возможность использования инъекций и проведения атак типа «межсайтовый скриптинг (XSS)»;

8% – проблемы шифрования (например, передача данных по незащищенному каналу);

5% – использование уязвимых конфигураций безопасности;

4% – ошибки логирования и мониторинга;

4% – остальное.