Без патча и протокола: какие уязвимости чаще всего встречаются в корпоративной инфраструктуре
Последнее время ни дня не проходит без новостей о новых найденных уязвимостях в том или ином ПО. И если раньше с момента их публикации до эксплуатации проходило 1,5 – 2 года, сегодня – уже пара часов. Мы регулярно проводим сканирование инфраструктуры для разных компаний, и не понаслышке знаем, какое количество стандартных и экзотических уязвимостей можно встретить. Львиная доля ошибок связана со скупым или вовсе отсутствующим патч-менеджментом, кривым шифрованием и устаревшими сертификатами безопасности. Но не только с этим. Результаты проведенных нами работ вы найдете в этом посте. Ну, а мы, как и раньше, призываем выявлять и устранять — сегодня это актуально как никогда.
Что и как мы проверяли
В основе отчета – итоги проведенных в 2021 году работ «Ростелеком-Солар» по контролю уязвимостей на сетевых периметрах и в веб-приложениях более, чем 50 организаций из различных отраслей (ИТ, промышленность, ритейл, медицина, госструктуры).
Мы проводили инструментальное сканирование в режимах Blackbox и Whitebox. Первый вариант проводится без использования учетных записей и авторизации. В этом случае сканер может обнаружить уязвимости только в доступных ему сетевых сервисах, проверив текущую защищенность хоста на основании баннеров, ответов на специально сконфигурированные запросы и т. п. Как правило, Blackbox чаще используют при сканировании внешнего периметра.
Второй вариант – сканирование с использованием учетных записей и авторизации. В этом случае сканер проверяет не только внешние интерфейсы, но и получает авторизованный доступ к установленному ПО, реестру и т. д. Это существенно расширяет область проверки и позволяет выявить наличие необходимых обновлений и актуальных уязвимостей (например, ошибки в конфигурации сервисов или возможности нелегитимного повышения привилегий). Поэтому Whitebox чаще используется для сканирования внутреннего периметра.
Что мы нашли на сетевых периметрах
Ключевой проблемой сетевых периметров оказалось банальное отсутствие обновлений ПО и ОС, что указывает на явные проблемы с патч-менеджментом.
Топ-5 проблем сетевого периметра выглядят так:
65% – уязвимости, связанные с отсутствующими обновлениями безопасности ПО (security updates);
14% – уязвимости, связанные с шифрованием передаваемых данных и используемыми протоколами (SSL/TLS);
7% – уязвимости, позволяющие злоумышленнику выполнять произвольный код (code execution);
6% – уязвимости, связанные с используемыми SSL-сертификатами (SSL certificate);
6% – уязвимости, приводящие к долговременному отказу оборудования (DOS);
2% – остальное.
Внутренний периметр
Если говорить про внутренний сетевой периметр, то в ходе работ на нем было обнаружено 147 133 уязвимости. Из них уникальных – 7527 (5 %). Большая часть (95%) уникальных уязвимостей имеет уровень критичности выше среднего. При этом многие критические ошибки имеют опубликованный эксплойт, что значительно упрощает жизнь злоумышленника.
Для 79% найденных недостатков существуют способы устранения (патчи, руководства по устранению/исправлению и т. п.). Остальные уязвимости представляют собой end-of-life программы, проблемы с шифрованием и сертификатами, использование устаревших протоколов, некоторые типы RCE и прочие уязвимости, которые невозможно закрыть патчем. В этих случаях требуются новые настройки или замена ПО и сертификатов.
Основные проблемы внутреннего сегмента связаны с:
- шифрованием;
- обновлениями безопасности ПО;
- парольным и пользовательским учетом.
Мы также встретили немало трендовых уязвимостей, об опасности которых говорили не только в ИБ-сообществе, но даже в СМИ. Это такие «звезды», как Log4j, BlueKeep, ShellShock, PrintNightmare, ProxyShell, EternalBlue.
В инфраструктурах разных компаний часто встречаются уязвимости старше 20 лет, в среднем же окно возможностей злоумышленника составляет 10–12 лет (разница между наиболее старой и наиболее новой уязвимостью с эксплойтом, обнаруженной в инфраструктуре).
Внешний периметр
В ходе работ по сканированию внешнего сетевого периметра было обнаружено 1478 уязвимостей, из которых 262 – уникальные, то есть 18%. Большая часть (82%) уникальных уязвимостей имеют уровень критичности выше среднего. Еще 20% – средний уровень, 8% – минимальный.
Для 73% обнаруженных уязвимостей существуют способы устранения (патчи, руководство по устранению/исправлению и т. п.).
Во внешнем сегменте самые распространенные проблемы связаны с:
Кстати, трендовых уязвимостей на внешних периметрах компаний мы не обнаружили. Зато регулярно фиксируем проблемы с инвентаризацией ИТ-активов (компании не знают весь свой пул внешних адресов) и критическое количество уязвимостей, связанных с неправильной настройкой или полным отсутствием шифрования данных.
Что мы нашли в веб-приложениях
В ходе работ по сканированию веб-приложений было обнаружено 4893 уязвимости. Из них 38 – уникальные, то есть менее 1%. Большая часть (55%) уникальных уязвимостей имеют уровень критичности выше среднего. Еще 24% – средний уровень, 21% – минимальный.
Топ-5 проблем в веб-приложениях:
56% – использование уязвимых и устаревших компонентов;
23% – возможность использования инъекций и проведения атак типа «межсайтовый скриптинг (XSS)»;
8% – проблемы шифрования (например, передача данных по незащищенному каналу);
5% – использование уязвимых конфигураций безопасности;
4% – ошибки логирования и мониторинга;
4% – остальное.