45% веб-ресурсов крупных российских компаний имеют критические уязвимости

45% веб-сайтов крупных российских компаний имеют критические уязвимости

45% веб-сайтов крупных российских компаний имеют критические уязвимости

Компания Positive Technologies опубликовала результаты своего ежегодного аналитического исследования, посвященного уязвимостям веб-приложений. В статистику попали недостатки безопасности, обнаруженные специалистами Positive Technologies в 2012 году в сайтах крупнейших российских организаций из государственной и промышленной отраслей, сферы IТ и телекоммуникаций (банковским системам посвящена отдельная работа).

Предметом исследования стали 67 ресурсов, протестированных в ходе анализа защищенности. Большинство этих веб-приложений можно назвать критически важными: это порталы самообслуживания сотовых операторов, сайты электронного правительства, веб-решения для контроля и управления промышленными объектами и др.

Согласно полученным результатам, все исследованные веб-приложения содержат те или иные уязвимости, при этом в 45% рассмотренных систем обнаружены уязвимости высокой степени риска. Кроме того, 9 из 10 ресурсов содержат уязвимости среднего уровня риска, что близко к результатам прошлых двух лет.

Телеком и промышленность — в зоне повышенного риска

Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%.

Полученная цифра весьма велика, но все же ниже доли, выявленной в 2010 и 2011 годах (88%). Не в последнюю очередь это связано с возросшим спросом на услуги по анализу кода новых приложений. Крупные операторы связи осознают необходимость оценки степени защищенности, и при заказе новых веб-приложений проводят их аудит до ввода в эксплуатацию.

Как и прежде, профильные для телекоммуникационной отрасли веб-приложения часто подвержены атакам на пользователей (Client-side Attacks), а также насыщены недостатками, которые позволяют межсайтовое выполнение сценариев (Cross-site Scripting). Среди наиболее опасных уязвимостей следует отметить распространенные в веб-приложениях телекома «Обход каталога» (Path Traversal) и «Внедрение SQL-кода» (SQL Injection), а также «Выполнение команд ОС» (OS Commanding) и «Внедрение XML-кода» (XML Injection), которые встречаются немного реже.

В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности. Сотрудникам служб ИБ производственных компаний стоит обращать внимание на недостатки «Выполнение команд ОС» и «Внедрение SQL-кода», а также на менее перспективные с точки зрения злоумышленника и при этом весьма многочисленные уязвимости «Межсайтовое выполнение сценариев».

С небольшим отрывом далее следуют сайты IТ- и ИБ-компаний (45%). Особенностью таких компаний является наличие уязвимостей, позволяющих осуществить внедрение операторов XPath. Включение в исследование данных о веб-приложениях ИБ-компаний имело, вероятно, определенное влияние на общую оценку безопасности IТ-организаций, поскольку в 2010 и 2011 годах доля ресурсов с уязвимостями высокого уровня риска составляла 75%.

Что касается государственных организаций, то примерно каждое третье веб-приложение (27%) в этой сфере содержит уязвимость высокого уровня риска. Год назад этот показатель составлял 65%.

Здесь существенно сказались особенности одного крупного государственного проекта, в котором обнаруженные ранее уязвимости успешно устранялись в течение последнего года. Если не рассматривать данные этого проекта, то доля ресурсов с критическими уязвимостями в государственном секторе составит 50% (такой же показатель и в промышленной сфере).

Снижение доли приложений с критическими уязвимостями в госсекторе свидетельствует о позитивной динамике, но процент уязвимых приложений все еще крайне велик, особенно учитывая интенсивный перевод ряда государственных услуг, а значит и огромных объемов конфиденциальной информации, в интернет. При этом большинство веб-приложений госучреждений и промышленной отрасли проходили анализ уже на стадии промышленной эксплуатации и были доступны пользователям. Все это не позволяет утверждать, что ситуация с защищенностью приложений в этих сферах коренным образом изменилась.

Наиболее опасные для сайтов госорганов вектора атак — «Внедрение SQL-кода», «Обход каталога», «Выполнение команд ОС» и «Отказ в обслуживании» (Denial of Service). Кроме того, именно государственным оказался в 2012 году единственный крупный корпоративный сайт, зараженный вирусом.

Самые распространенные уязвимости

В 2012 году наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев. Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). В топ-10 вошли также две критические уязвимости — «Внедрение SQL-кода» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

Наименее защищены веб-приложения на языке PHP с веб-сервером Apache

Степень уязвимости веб-приложения напрямую зависит от выбора языка программирования и веб-сервера. PHP оказался самым распространенным языком для разработки веб-ресурсов в 2012 году — на нем написано 36% исследованных систем. Обратная сторона популярности — низкий уровень защищенности: 83% сайтов на PHP содержат критические уязвимости. Данный показатель почти в три раза выше, чем у Perl (29%). Что касается веб-приложений, разработанных на языках Java и ASP.NET, то они наименее подвержены ошибкам высокой степени риска — 15% и 10% уязвимых приложений соответственно, однако 85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска, что не позволяет говорить о высоком уровне безопасности.

Разработчикам веб-приложений на PHP стоит обращать пристальное внимание на критические недостатки «Внедрения SQL-кода» и «Выполнение команд ОС», которые обнаружены примерно в каждом втором ресурсе на этом языке. В свою очередь сайты на ASP.NET подвержены уязвимости «Подбор паролей». Этот факт объясняется тем, что данная технология используется, как правило, в коммерческих приложениях, вместе с централизованным хранилищем идентификационных данных пользователей (Active Directory).

В 2012 году наиболее распространенным веб-сервером оказался Nginx (43%), а наиболее подверженным уязвимостям высокой степени риска стал Apache: 88% использующих его веб-ресурсов подвержены критическим недостаткам безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. В прошлом году наиболее уязвимыми были веб-серверы Nginx и Apache.

В 2012 году, как и в 2010 и 2011, веб-приложения под управлением серверов Microsoft IIS оказались самыми безопасными: всего 14% исследованных сайтов содержали уязвимости высокой степени риска.

Большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является «Утечка информации» (Information Leakage).

Специализированные средства защиты уровня приложений используется только в одном случае из трех

Только 30% протестированных веб-ресурсов использовали Web Application Firewall (WAF). Учитывая, что на каждом из рассмотренных сайтов были обнаружены те или иные уязвимости, наличие такого средства превентивной защиты, как WAF, могло бы снизить риски, однако на сегодняшний день немногие владельцы веб-приложений прибегают к использованию подобных дополнительных инструментов.

В целом по сравнению с 2011 годом средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.

Заместитель технического директора Positive Technologies Дмитрий Кузнецов отмечает: «Общая картина защищенности веб-приложений в 2012 году радикально не изменилась. Заметно, что разработчики прикладывают определенные усилия, чтобы делать создаваемые информационные системы более защищенными: увеличился спрос на услуги анализа защищенности веб-приложений, снизилось количество уязвимостей высокого уровня риска, разработчики систем проявляют все больший интерес к средствам анализа исходного кода приложений и WAF. Тем не менее, о серьезном росте уровня защищенности говорить пока не приходится. Выявляемых уязвимостей высокого и среднего уровня опасности по-прежнему достаточно для проведения успешных атак, и веб-приложения по-прежнему остаются наиболее удобной стартовой точкой для преодоления периметра защиты корпоративных и государственных информационных систем».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств

Специалисты «Доктор Веб» нашли опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в формате APK, обеспечивает полнофункциональный удалённый контроль над аккаунтом и умеет красть и модифицировать данные — от логинов и паролей до истории чатов.

Что умеет троян:

  • Скрывать от пользователя подключённые устройства в списке активных сеансов Telegram, чтобы компрометация не бросалась в глаза.
  • Добавлять и удалять пользователя из каналов, вступать в чаты от его имени и выходить из них — злоумышленники могут накручивать подписчиков и управлять активностью аккаунта.
  • Перехватывать содержимое буфера обмена, загружать СМС и контакты, вытаскивать историю сообщений и токены аутентификации.
  • Работать через классический C2 и — что необычно для Android — через базу данных Redis: злоумышленники публикуют команды в Redis, а бэкдор подхватывает их как второй канал управления.
  • Создавать прокси-сервисы на заражённых устройствах (NPS), загружать обновления трояна и показывать фишинговые окна прямо в интерфейсе мессенджера.

По оценкам «Доктор Веб», число заражённых устройств превысило 58 000, при этом аналитики фиксируют примерно 20 000 активных подключений одновременно. Под удар попали около 3 000 моделей устройств — это не только смартфоны и планшеты, но и ТВ-приставки, а иногда и автомобили с Android-бортовыми системами.

Распространяется бэкдор главным образом через рекламные баннеры в приложениях: жертве предлагают скачать «Telegram X» с сайта, где мессенджер подаётся как сервис для знакомств или видеочатов. Сайт выглядит как магазин приложений с фиктивными отзывами и кнопкой загрузки APK.

 

Авторы кампании готовят шаблоны на португальском (ориентир — Бразилия) и индонезийском — эти страны в приоритете, но атаки могут выйти и на другие регионы.

 

Кроме вредоносных сайтов, модификации были найдены и в сторонних каталогах приложений — APKPure, ApkSum, AndroidP — иногда даже под подписью настоящего разработчика, хотя цифровые подписи не совпадают с оригиналом. «Доктор Веб» уведомил площадки о проблеме.

Как встроен бэкдор

Обнаружены три основных подхода злоумышленников: встраивание бэкдора прямо в DEX-файл приложения, динамический патч через LSPatch и загрузка дополнительного DEX-файла из ресурсов. При запуске модифицированного Telegram X бэкдор инициализируется незаметно — для пользователя приложение выглядит обычным, но при этом злоумышленники получают полный контроль.

 

Для изменения поведения используют и фреймворк Xposed, и зеркала методов приложения, чтобы подсовывать фальшивые окна и перехватывать действия.

Какие команды выполняет троян

Список возможностей длинный: скрывать чаты, блокировать уведомления, показывать фишинговые сообщения, подписывать и отписывать от каналов, выгружать базы данных чатов, слать на сервер содержимое буфера обмена, присылать список установленных приложений и многое другое. Команды приходят и через C2, и через Redis — при этом реализована дублирующая логика, если один канал недоступен.

Что делать пользователям:

  • Не скачивайте APK с сомнительных сайтов и не переходите по рекламным баннерам с предложениями «удобных видеочатов».
  • Загружайте приложения только из официальных магазинов и проверяйте цифровые подписи.
  • Включите двухфакторную аутентификацию в Telegram и регулярно проверяйте список активных сеансов (Settings → Devices). Если видите неизвестные устройства — разлогиньтесь на них.
  • Не храните пароли и критичные фразы в буфере обмена, используйте менеджеры паролей.
  • Обновляйте ОС и приложения, ставьте официальные обновления безопасности; при сомнении — переустановите приложение из официального источника.
  • Рассмотрите установку мобильного антивируса и проверку устройства на наличие вредоносные программы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru