45% веб-ресурсов крупнейших российских компаний имеют критические уязвимости

05.11.2013

Компания Positive Technologies опубликовала результаты своего ежегодного аналитического исследования, посвященного уязвимостям веб-приложений. В статистику попали недостатки безопасности, обнаруженные специалистами Positive Technologies в 2012 г. в сайтах крупнейших российских организаций из государственной и промышленной отраслей, сферы ИТ и телекоммуникаций (банковским системам посвящена отдельная работа), рассказали CNews в компании.

Предметом исследования стали 67 ресурсов, протестированных в ходе анализа защищенности. Большинство этих веб-приложений можно назвать критически важными: это порталы самообслуживания сотовых операторов, сайты электронного правительства, веб-решения для контроля и управления промышленными объектами и др. Согласно полученным результатам, все исследованные веб-приложения содержат те или иные уязвимости, при этом в 45% рассмотренных систем обнаружены уязвимости высокой степени риска. Кроме того, 9 из 10 ресурсов содержат уязвимости среднего уровня риска, что близко к результатам прошлых двух лет, отметили в Positive Technologies.

Максимальная концентрация веб-приложений, содержащих уязвимости высокой степени риска, была выявлена в телекоммуникационной отрасли — 78%. Полученная цифра весьма велика, но все же ниже доли, выявленной в 2010 и 2011 гг. (88%). Не в последнюю очередь, по мнению специалистов Positive Technologies, это связано с возросшим спросом на услуги по анализу кода новых приложений. Крупные операторы связи осознают необходимость оценки степени защищенности, и при заказе новых веб-приложений проводят их аудит до ввода в эксплуатацию.

Как и прежде, профильные для телекоммуникационной отрасли веб-приложения часто подвержены атакам на пользователей (Client-side Attacks), а также насыщены недостатками, которые делают возможным межсайтовое выполнение сценариев (Cross-site Scripting). Среди наиболее опасных уязвимостей в компании отметили распространенные в веб-приложениях телекома «Обход каталога» (Path Traversal) и «Внедрение SQL-кода» (SQL Injection), а также «Выполнение команд ОС» (OS Commanding) и «Внедрение XML-кода» (XML Injection), которые встречаются немного реже.

В промышленной сфере ровно половина (50%) ресурсов содержит критические недостатки безопасности. Сотрудникам служб ИБ производственных компаний стоит обращать внимание на недостатки «Выполнение команд ОС» и «Внедрение SQL-кода», а также на менее перспективные с точки зрения злоумышленника и при этом весьма многочисленные уязвимости «Межсайтовое выполнение сценариев», указали в Positive Technologies.

С небольшим отрывом далее следуют сайты ИТ- и ИБ-компаний (45%). Особенностью таких компаний является наличие уязвимостей, позволяющих осуществить внедрение операторов XPath. «Включение в исследование данных о веб-приложениях ИБ-компаний имело, вероятно, определенное влияние на общую оценку безопасности ИТ-организаций, поскольку в 2010 и 2011 годах доля ресурсов с уязвимостями высокого уровня риска составляла 75%», — отметили в компании.

Что касается государственных организаций, то примерно каждое третье веб-приложение (27%) в этой сфере содержит уязвимость высокого уровня риска. Год назад этот показатель составлял 65%. Как пояснили в Positive Technologies, здесь существенно сказались особенности одного крупного государственного проекта, в котором обнаруженные ранее уязвимости успешно устранялись в течение последнего года. Если не рассматривать данные этого проекта, то доля ресурсов с критическими уязвимостями в государственном секторе составит 50% (такой же показатель и в промышленной сфере).

По словам специалистов компании, снижение доли приложений с критическими уязвимостями в госсекторе свидетельствует о позитивной динамике, но процент уязвимых приложений все еще крайне велик, особенно учитывая интенсивный перевод ряда государственных услуг, а значит и огромных объемов конфиденциальной информации, в интернет. При этом большинство веб-приложений госучреждений и промышленной отрасли проходили анализ уже на стадии промышленной эксплуатации и были доступны пользователям. Все это не позволяет утверждать, что ситуация с защищенностью приложений в этих сферах коренным образом изменилась.

Наиболее опасные для сайтов госорганов векторы атак — «Внедрение SQL-кода», «Обход каталога», «Выполнение команд ОС» и «Отказ в обслуживании» (Denial of Service). Кроме того, именно государственным оказался в 2012 г. единственный крупный корпоративный сайт, зараженный вирусом.

Исследование показало, что в 2012 г. наибольшее распространение получила уязвимость раскрытия информации Fingerprinting, позволяющая идентифицировать программное обеспечение и подготовить плацдарм для атаки: этому недостатку подвержены три четверти исследованных ресурсов (73%). На втором месте с 63% — межсайтовое выполнение сценариев. Почти в половине систем (46%) присутствуют ошибки, позволяющие автоматически подбирать учетные данные и пароли пользователей (Brute Force). В топ-10 вошли также две критические уязвимости — «Внедрение SQL-кода» и «Обход каталога», которым подвержены 33% и 18% исследованных веб-ресурсов соответственно.

Примечательно, что степень уязвимости веб-приложения напрямую зависит от выбора языка программирования и веб-сервера. Так, PHP оказался самым распространенным языком для разработки веб-ресурсов в 2012 г. — на нем написано 36% исследованных систем. Обратная сторона популярности — низкий уровень защищенности: 83% сайтов на PHP содержат критические уязвимости. По информации Positive Technologies, данный показатель почти в три раза выше, чем у Perl (29%). Что касается веб-приложений, разработанных на языках Java и ASP.NET, то они наименее подвержены ошибкам высокой степени риска — 15% и 10% уязвимых приложений соответственно, однако 85% приложений на Java и 80% на ASP.NET содержат уязвимости средней степени риска, что не позволяет говорить о высоком уровне безопасности.

Разработчикам веб-приложений на PHP стоит обращать пристальное внимание на критические недостатки «Внедрения SQL-кода» и «Выполнение команд ОС», которые обнаружены примерно в каждом втором ресурсе на этом языке, советуют в компании. В свою очередь, сайты на ASP.NET подвержены уязвимости «Подбор паролей». Этот факт объясняется тем, что данная технология используется, как правило, в коммерческих приложениях, вместе с централизованным хранилищем идентификационных данных пользователей (Active Directory), пояснили в Positive Technologies.

В 2012 г. наиболее распространенным веб-сервером оказался Nginx (43%), а наиболее подверженным уязвимостям высокой степени риска стал Apache: 88% использующих его веб-ресурсов подвержены критическим недостаткам безопасности. На втором месте Tomcat — 75% ошибок высокого уровня риска. В прошлом году наиболее уязвимыми были веб-серверы Nginx и Apache.

В 2012 г., как и в 2010 и 2011 гг., веб-приложения под управлением серверов Microsoft IIS оказались самыми безопасными: всего 14% исследованных сайтов содержали уязвимости высокой степени риска.

В целом большинство уязвимостей веб-серверов связаны с ошибками администрирования, самой распространенной из которых является «Утечка информации» (Information Leakage), отметили в компании.

Согласно результатам исследования, только 30% протестированных веб-ресурсов использовали Web Application Firewall (WAF). Учитывая, что на каждом из рассмотренных сайтов были обнаружены те или иные уязвимости, наличие такого средства превентивной защиты, как WAF, могло бы снизить риски, считают в Positive Technologies. Однако на сегодняшний день немногие владельцы веб-приложений прибегают к использованию подобных дополнительных инструментов.

В целом по сравнению с 2011 г. средний уровень защищенности веб-приложений стал немного выше: в частности, доля сайтов, содержащих критические уязвимости, уменьшилась на 15% и составила почти 45%. Эксперты компании обнаружили только одно зараженное веб-приложение, тогда как ранее 10% сайтов содержали вредоносный код. С другой стороны, есть и признаки стагнации: никак не изменилась доля веб-приложений с уязвимостями высокого уровня риска в промышленной сфере, а сайты телеком-сектора повышают уровень безопасности очень медленно.

«Общая картина защищенности веб-приложений в 2012 году радикально не изменилась. Заметно, что разработчики прикладывают определенные усилия, чтобы делать создаваемые информационные системы более защищенными: увеличился спрос на услуги анализа защищенности веб-приложений, снизилось количество уязвимостей высокого уровня риска, разработчики систем проявляют все больший интерес к средствам анализа исходного кода приложений и WAF, — отметил заместитель технического директора Positive Technologies Дмитрий Кузнецов. — Тем не менее, о серьезном росте уровня защищенности говорить пока не приходится. Выявляемых уязвимостей высокого и среднего уровня опасности по-прежнему достаточно для проведения успешных атак, и веб-приложения по-прежнему остаются наиболее удобной стартовой точкой для преодоления периметра защиты корпоративных и государственных информационных систем».