Уязвимости Web-ресурсов российских компаний

--> Дата: Ноя 21, 2013 40

Компания Positive Technologies опубликовала результаты своего ежегодного аналитического исследования, посвященного уязвимостям Web-приложений. В статистику включены недостатки безопасности, обнаруженные специалистами Positive Technologies в 2012 г. на сайтах крупнейших российских организаций из государственной и промышленной отраслей, сферы ИТ и телекоммуникаций (но не банковские системы, которым посвящена отдельная работа).

В ходе анализа защищенности протестировано 67 ресурсов, большинство которых можно отнести к критически важным: это порталы самообслуживания сотовых операторов, сайты электронного правительства, Web-решения для контроля и управления промышленными объектами и др.

По данным исследования, все изученные Web-приложения содержат те или иные уязвимости, при этом в 45% рассмотренных систем обнаружены уязвимости высокой степени риска. Кроме того, 9 из 10 ресурсов содержат уязвимости среднего уровня риска, что близко к результатам прошлых двух лет.

Максимальная концентрация Web-приложений, содержащих уязвимости высокой степени риска, выявлена в телекоммуникационной отрасли – 78%. Это довольно много, но все же ниже доли, выявленной в 2010 и 2011 гг. (88%). Не в последнюю очередь это связано с возросшим спросом на услуги по анализу кода новых приложений. Крупные операторы связи при заказе новых Web-приложений проводят их аудит до ввода в эксплуатацию.

Как и прежде, профильные для телекоммуникационной отрасли Web-приложения часто подвержены атакам на пользователей (Client-side Attacks), а также допускают межсайтовое выполнение сценариев (Cross-site Scripting). Среди наиболее опасных уязвимостей следует отметить распространенные в Web-приложениях телекома «Обход каталога» (Path Traversal) и «Внедрение SQL-кода» (SQL Injection), а также «Выполнение команд ОС» (OS Commanding) и «Внедрение XML-кода» (XML Injection), которые встречаются немного реже.

В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности. Сотрудникам служб ИБ производственных компаний стоит обратить внимание на «Выполнение команд ОС» и «Внедрение SQL-кода», а также на менее перспективные с точки зрения злоумышленника и при этом весьма многочисленные уязвимости «Межсайтовое выполнение сценариев».

Далее с небольшим отрывом следуют сайты ИТ- и ИБ-компаний (45%). Их особенность – наличие уязвимостей, позволяющих провести внедрение операторов XPath.

Что касается государственных организаций, то примерно каждое третье Web-приложение (27%) в этой сфере содержит уязвимость высокого уровня риска. Год назад этот показатель составлял 65%. Здесь сказались особенности одного крупного государственного проекта, в котором обнаруженные ранее уязвимости успешно устранялись в течение последнего года. Без учета этого проекта доля ресурсов с критическими уязвимостями в государственном секторе составит 50% (как и в промышленной сфере). Наиболее опасные для сайтов госорганов вектора атак — «Внедрение SQL-кода», «Обход каталога», «Выполнение команд ОС» и «Отказ в обслуживании» (Denial of Service). Кроме того, именно государственным оказался в 2012 г. единственный крупный корпоративный сайт, зараженный вирусом.

Наибольшее распространение в 2012 г. получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать ПО и подготовить плацдарм для атаки: ей подвержены три четверти исследованных ресурсов (73%). На втором месте (63%) — межсайтовое выполнение сценариев. Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). В топ-10 вошли также критические уязвимости «Внедрение SQL-кода» и «Обход каталога», которым подвержены 33% и 18% исследованных Web-ресурсов соответственно.

Степень уязвимости Web-приложения напрямую зависит от языка программирования и Web-сервера. PHP оказался самым распространенным языком для разработки Web-ресурсов в 2012 г.— на нем написано 36% исследованных систем. Но зато 83% сайтов на PHP содержат критические уязвимости, это почти в три раза выше, чем у Perl (29%). Web-приложения на языках Java и ASP.NET они наименее подвержены ошибкам высокой степени риска — 15% и 10% уязвимых приложений соответственно, однако 85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска.

Разработчикам Web-приложений на PHP стоит обратить внимание на критические недостатки «Внедрения SQL-кода» и «Выполнение команд ОС», которые обнаружены примерно в каждом втором ресурсе на этом языке. В свою очередь сайты на ASP.NET подвержены уязвимости «Подбор паролей» (данная технология обычно используется в коммерческих приложениях вместе с централизованным хранилищем идентификационных данных пользователей Active Directory).

Из числа Web-сервером наиболее распространенным в 2012 г. оказался Nginx (43%), а наиболее подверженным уязвимостям высокой степени риска – Apache (88% использующих его ресурсов). На втором месте Tomcat — 75% ошибок высокого уровня риска. В прошлом году наиболее уязвимыми были Web-серверы Nginx и Apache. В 2012 г., как и в два предыдущих года, Web-приложения под управлением серверов Microsoft IIS оказались самыми безопасными: всего 14% сайтов содержали уязвимости высокой степени риска.

Только 30% протестированных Web-ресурсов использовали Web Application Firewall (WAF). Наличие такого средства превентивной защиты могло бы снизить риски, однако на сегодняшний день немногие владельцы Web-приложений прибегают к подобным инструментам.

В целом по сравнению с 2011 г. средний уровень защищенности Web-приложений стал выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты Positive Technologies обнаружили только одно зараженное Web-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля Web-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.