63% веб-сайтов содержат опасные уязвимости

63% веб-сайтов содержат опасные уязвимости

Компания WhiteHat Security опубликовала результаты исследования безопасности web-сайтов в сети, сообщает opennet.ru. В соответствии с представленным отчетом, программное обеспечение 63% исследованных сайтов различных компаний содержит по меньшей мере одну критическую или опасную уязвимость. При этом в среднем на один сайт приходится 7 неисправленных проблем безопасности, среди которых лидируют уязвимости, позволяющие осуществить межсайтовый скриптинг (подвержено 65% сайтов) и ошибки приводящие к утечке информации (47% сайтов).

Около 30% сайтов содержат ошибки, позволяющие формировать подставной контент (spoofing), 18% имеют проблемы с авторизацией пользователей, 17% позволяют осуществлять подстановку SQL кода, 14% размещают скрытые ресурсы в предсказуемых местах, 11% допускают перехват сессий, 11% подвержены CSRF (cross-site request forger) атакам. Если рассматривать степень подверженности уязвимостям сайтов в зависимости от области деятельности поддерживающих их организаций, то уязвимости были зафиксированы у 82% сайтов социальных сетей; 75% у сайтов фирм, связанных с информационными технологиями; 65% - финансовые компании; 64% - страховые фирмы; 61% - компании, занимающиеся розничной продажей; 59% - фармацевтические фирмы; 54% - предприятия, работающие в области телекоммуникаций; 47% - организации, связанные со здравоохранением.

Кроме того, в отчете подчеркнута проблема низкой эффективности и медлительности исправления ошибок. Например, среднее время исправления уязвимости, позволяющей осуществить подстановку SQL кода - 38 дней, XSS уязвимости - 58 дней, устранение утечки информации - 85 дней, проблемы с аутентификацией - два месяца.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RCE-уязвимость в BillQuick помогла хакерам запустить в сеть шифровальщика

При разборе вымогательской атаки на инжиниринговую компанию эксперты Huntress обнаружили, что точкой входа в сеть послужила критическая уязвимость в веб-приложении BillQuick. Проблема позволяет без аутентификации получить закрытые данные сотрудников, использующих биллинговую систему, и выполнить любую команду на бэкенд-сервере базы данных.

Уязвимость CVE-2021-42258 классифицируется как возможность SQL-инъекции; такие ошибки грозят удаленным исполнением кода. Компания BQE Software, разработчик BillQuick Web Suite, уже устранила опасную проблему, выпустив обновление 22.0.9.1 (PDF), и работает над исправлением восьми других ИБ-ошибок, также выявленных Huntress. Платформу BillQuick, по оценке производителя, используют более 400 тыс. клиентов в разных странах.

Эксплойт уязвимости, по словам исследователей, тривиален: достаточно лишь пройти на страницу входа и ввести неприемлемый знак в поле Username — например, апостроф («'»).

Поскольку обработчик ошибок для этой страницы выдает полную трассировку, злоумышленник также имеет шанс получить не только шифрованные пароли и разрешения на доступ сотрудников, но также информацию о коде на стороне сервера.

Более того, атака SQLi позволяет запустить в Windows-системе подпроцесс командной оболочки и добиться исполнения стороннего кода. Эту возможность обеспечивает тот факт, что BillQuick взаимодействует с базой данных на уровне системного администратора.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru