В минувшем году ИБ-компания Positive Technologies обнаружила критические уязвимости на 45% сайтов, принадлежащих крупнейшим российским организациям. Этот результат был получен в ходе ежегодной проверки защищенности веб-приложений. В репрезентативную выборку вошло 67 ресурсов Рунета, владельцами которых являются представители госсектора, промышленной отрасли, сферы IT и телекоммуникаций. Состояние в финансовом секторе рунет-рынка было представлено ранее в отдельном отчете.

Как показало исследование, те или иные уязвимости содержат все подвергнутые аудиту веб-приложения. Бреши высокой степени риска были обнаружены в 45% рассмотренных систем, что на 15% меньше, чем в предыдущем году. Девять из 10 ресурсов содержали уязвимости средней степени риска; согласно статистике РТ, последние три года этот показатель практически неизменен.

Наибольшая концентрация приложений с критическими ошибками наблюдалась в сфере телекоммуникаций, где они были выявлены на 78% веб-сайтов против 88% в 2010–2011 годах. Опасные бреши содержали также 50% производственных ресурсов, 45% IT и  27% государственных. При этом эксперты с сожалением отмечают, что степень защищенности в промышленной отрасли осталась прежней. На общую оценку безопасности IТ-компаний могло повлиять включение в эту категорию представителей ИБ: два предыдущих года показатель IT держался на уровне 75%. Прежний показатель госсектора тоже был заметно выше ― 65%; его резкое снижение РТ объясняет успехами крупного государственного проекта, который весь прошлый год активно боролся с найденными ранее ошибками.

Наиболее распространенной уязвимостью по результатам 2012 года является та, что дает злоумышленнику возможность определить тип ОС путем снятия отпечатков сетевого стека (Fingerprinting) и подготовить плацдарм для атаки. Эту ошибку низкой степени риска содержат 73% исследованных сайтов. Второе место занимает межсайтовый скриптинг (XSS, 63%), третье ― уязвимости, позволяющие применить подбор паролей (Brute Force, 46%). В Тор-10 вошли также две критические уязвимости, провоцирующие SQL-инъекции и обход каталога (Path Traversal); им подвержены 33 и 18% ресурсов соответственно.

В сфере телекоммуникаций большое распространение, по данным РТ, имеют бреши, чреватые атаками на пользователей (Client-side Attacks) и XSS, из наиболее опасных ― Path Traversal и SQLi, реже встречаются OS Commanding (выполнение команд ОС) и XML Injection (внедрение XML-кода). На ресурсах производственных предприятий преобладают OS Commanding и SQLi; XSS-уязвимостей тоже много, однако они, по оценке экспертов, «менее перспективны с точки зрения злоумышленника». Веб-сайты IТ-компаний, как правило, грешат наличием уязвимостей, позволяющих осуществить внедрение операторов XPath. Для госорганов наиболее опасны SQLi, Path Traversal, OS Commanding и отказ в обслуживании (DoS). Единственный зараженный сайт, обнаруженный в 2012 году, тоже принадлежит государственному учреждению.

В разделении по платформам наиболее плачевно состояние PHP-приложений, работающих под Apache. PHP используют 36% рассмотренных систем, при этом 83% из них содержат критические уязвимости. У Perl, Java и ASP.NET показатель опасности значительно ниже (29, 15 и 10% соответственно). В то же время РТ отмечает, что «85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска, что не позволяет говорить о высоком уровне безопасности». Для PHP-приложений характерны такие ошибки, как SQLi и OS Commanding, которые обнаружены на каждом втором ресурсе, использующем эту платформу. Веб-сайты на ASP.NET, как правило, подвержены Brute Force.

Наиболее популярным веб-сервером в 2012 году оказался Nginx (43% веб-сайтов). Тем не менее первенство по наличию опасных уязвимостей РТ присудила Apache: такие бреши были обнаружены на 88% использующих его ресурсов. Второе место занял Tomcat (75%). Самыми безопасными, как и прежде, были признаны веб-приложения, работающие под управлением Microsoft IIS (14% сайтов с критическими брешами). Большинство уязвимостей веб-серверов, по данным РТ, связаны с ошибками администрирования, самая распространенная из них чревата утечкой информации (Information Leakage).

Результаты годового аудита РТ подытожил заместитель технического директора компании Дмитрий Кузнецов: «Общая картина защищенности веб-приложений в 2012 году радикально не изменилась. Заметно, что разработчики прикладывают определенные усилия, чтобы делать создаваемые информационные системы более защищенными: увеличился спрос на услуги анализа защищенности веб-приложений, снизилось количество уязвимостей высокого уровня риска, разработчики систем проявляют все больший интерес к средствам анализа исходного кода приложений и WAF. Тем не менее о серьезном росте уровня защищенности говорить пока не приходится. Выявляемых уязвимостей высокого и среднего уровня опасности по-прежнему достаточно для проведения успешных атак, и веб-приложения по-прежнему остаются наиболее удобной стартовой точкой для преодоления периметра защиты корпоративных и государственных информационных систем».

Категории: Аналитика, Уязвимости