Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.
Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.
Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, с ними можно ознакомиться на сайте. В этой статье хочу остановиться на ключевых моментах, в частности на уязвимостях.
Но для начала ключевые цифры.
Сразу отмечу, уровень защищенности протестированных компаний оказался в подавляющем большинстве низким. Судите сами:
В 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть.
Самое быстрое проникновение в локальную внутреннюю сеть (ЛВС) организации было осуществлено в первый день с момента начала работ. В среднем специалистам на это нужно 10 дней.
Во всех организациях удалось установить полный контроль над ИТ-инфраструктурой.
В 63% протестированных компаний злоумышленник с низкой квалификацией сможет проникнуть в ЛВС извне.
В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации.
В 21% проектах были обнаружены следы компрометации. Иными словами, реальные злоумышленники ранее взламывали ИТ-инфраструктуру этих организаций.
В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений. Столько же организаций были подвержены критически опасным уязвимостям парольной политики. В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.
Как видите, ситуация не самая утешительная.
Внешний пентест и уязвимости
Основными причинами успешного проникновения во внутреннюю сеть стали продукты, которые не были своевременно обновлены; недостатки парольной политики; уязвимости в коде веб-приложений (в том числе сторонних продуктов); недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN, Citrix).
Как видим на рисунке выше, наибольшее количество критически опасных уязвимостей было связано с устаревшеим ПО в информационных системах организаций. Также частыми причинами возникновения уязвимостей были недостатки парольной политики и небезопасный код веб-приложений.
Стоит отметить, что уязвимости, возникшие вследствие использования устаревшего ПО (в том числе ПО с веб-интерфейсами), зачастую сразу приводили к получению доступа в ЛВС и к последующим угрозам безопасности.
Использование популярных продуктов, содержащих уязвимости, может поставить под угрозу любую компанию, поэтому оперативное устранение уязвимостей играет решающую роль: информация о трендовых уязвимостях, эксплуатирующихся злоумышленниками в атаках, в течение 12 часов поступает в систему управления уязвимостями MaxPatrol VM. Это позволяет вовремя среагировать и принять меры по устранению наиболее опасных из них, тем самым защитить инфраструктуру компании.
Большую угрозу безопасности для организации представляют решения, разработанные сторонними компаниями. Ниже приведу примеры уязвимого ПО, которое стало причиной проникновения специалистов в инфраструктуру заказчиков.
(вместо названия продукта приведена его категория)
В таблице приведены известные уязвимости продуктов сторонних поставщиков ПО, которые чаще других эксплуатировались исследователями для получения доступа к системам. Для всех указанных уязвимостей были выпущены пакеты обновлений, однако организации не спешат их устанавливать, следствием чего и становится столь легкая возможность проникновения в инфраструктуру.
Помимо недостатков безопасности, возникающих из-за использования уязвимого стороннего ПО, исследователи обнаружили 37 уязвимостей в веб-приложениях заказчиков. Среди них 15 имели критически высокую и высокую степени опасности.
Внутренний пентест и трендовые уязвимости
Главная цель внутреннего тестирования на проникновение — оценить уровень защищенности ИТ-инфраструктуры от атак со стороны внутреннего нарушителя. Такой нарушитель имеет возможность действовать в локальной сети организации.
Отмечу, что в подавляющем большинстве проектов были обнаружены векторы атаки низкой (38%) и средней (50%) сложности.
Низкая сложность векторов атаки означает, что нарушитель обладает лишь базовыми знаниями о проведении атак на информационные системы и использует общедоступные эксплойты и автоматизированное ПО.
Например, такие векторы атак могут быть основаны на эксплуатации двух уязвимостей в Microsoft Exchange — для удаленного выполнения кода (CVE-2022-41082) и для повышения привилегий (CVE-2022-41080) — с помощью общедоступных эксплойтов. В некоторых случаях инфраструктура оказывалась уязвимой к эксплуатации уязвимости Zerologon, что приводило к получению привилегий администратора в одно действие.
Всё это нашумевшие уязвимости, эксплойты к которым находятся в свободном доступе, закрывать их организациям нужно в первую очередь. Эти и подобные опасные уязвимости мы называем трендовыми, и здесь, в блоге на Хабре, наша команда аналитиков-исследователей вместе с Александром Леоновым каждый месяц публикует постоянную подборку трендовых уязвимостей (новая статья — на следующей неделе). Хотите знать, как вас будут взламывать в ближайшее время (или уже, не дай бог, взломали), — не пропустите рубрику Саши!
(доля от общего количества проектов)
Несмотря на то что среди уязвимостей, которые связаны с небезопасной конфигурацией, критически опасных не так много (6%), комбинация из нескольких уязвимостей с меньшей степенью риска из этой категории может привести к получению максимальных привилегий в домене Active Directory. Заручившись такими привилегиями, злоумышленник приобретает полный контроль над IT-инфраструктурой организации: ему становятся доступны управление бизнес-процессами, конфиденциальные данные и учетные записи.
Что в итоге
Тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. В ходе проведения этих работ наши исследователи помогают выявлять небезопасные места в ключевых и целевых системах, тем самым информируя компании о возможности реализации недопустимого события со стороны реальных злоумышленников. Как и в 2022 году, доля уязвимых для внешнего нарушителя компаний осталась прежней — 96%. В тех организациях, в которых был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. В 2022 году этот показатель также был максимальным.
Необходимо отметить, что те организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению безопасности по их результатам, в итоге выходят на более высокий уровень защищенности.
С полной версией исследования, а также с рекомендациями по защите можно ознакомиться в статье на сайте.
Понравилась статья, хотите поделиться мнением, поспорить с изложенным или узнать больше о специфике работы аналитика по ИБ — пишите в комментариях под публикацией. До новых данных!
Григорий Прохоров
Аналитик из команды PT Cyber Analytics, Positive Technologies