Это показывают итоги исследования, которое провели специалисты «Информзащиты», проанализиров на уязвимости информационные системы 50 компаний из различных отраслей: ритейл, банки и финансы, девелопмент, государственные учреждения, телеком.
Согласно итогам данного исследования, в ИС некоторых заказчиков встречаются критические уязвимости аж 2008 г. Эксперты «Информзащиты» связывают это печальное явление не только с низкой осведомленность сотрудников в области ИБ, но и с использованием (в ряде случаев) старого ПО, которое более не поддерживается и не проходит тестирование на совместимость с обновлениями безопасности. Данная ситуация позволяет злоумышленникам с хорошей фантазией и без специальных знаний получить доступ к внутренней сети, используя методы социальной инженерии.
Исследование показывает, что наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг). Данный тип уязвимости встречался в 38% проанализированных приложений, то есть практически в каждом третьем сайте. Вторыми по популярности стали уязвимости типа Using Components with Known Vulnerabilities (использование компонентов с известными уязвимостями) и Security Misconfiguration (небезопасная конфигурация веб-приложения или его окружения), которые были выявлены у 25% клиентов. Наименее распространенной оказалась уязвимость Broken Authentication and Session management (небезопасное использование данных сеанса при работе с веб-приложением), которая обнаружилась у 19% клиентов.
Начальник отдела анализа защищенности компании «Информзащита» Захар Федоткин отмечает: «Уязвимость Cross-Site Scripting до сих пор многие считают несерьезной, не уделяя ей должного внимания. Мы считаем это в корне неверным подходом, поскольку данная уязвимость позволяет получить доступ к чувствительным данным, а также выполнять действия от имени пользователя».
Вот ещё один результат упомянутого исследования: уязвимость к атаке ARP Cache Poisoning встречалась в 60% проанализированных приложений, в то время как уязвимость к атаке STP Claiming Root Role была выявлена лишь у 20% клиентов. «Как мы видим, 60% клиентов не рассматривают всерьез действия потенциального внутреннего злоумышленника, — говорит Захар Федоткин. — Такая уязвимость делает возможным осуществление атаки типа MITM („человек посередине“)».
В данном исследовании при анализе внутреннего периметра чаще всего встречалась уязвимость типа «Использование учетных записей по умолчанию», выявленная у 70% клиентов. Вторая по распространенности уязвимость — SNMP-community строки по умолчанию, выявленная у 50% клиентов. Чуть реже (в 40% случаев) встречалась уязвимость «Открытый доступ к серверу X11». Далее по нисходящей следуют уязвимости MS08-067: уязвимость в сервисе SMB — также 40% и MS09-004: уязвимость СУБД MSSQL — только 30%. При этом уязвимость MS08-067 делает возможным удаленное выполнение кода при получении уязвимой системой специально созданного RPC-запроса. В системах Microsoft Windows 2000, Windows XP и Windows Server 2003 можно воспользоваться этой уязвимостью и запустить произвольный код без прохождения проверки подлинности, а также посредством вирусов-червей или специально созданных средств.
Уязвимость MS09-004 позволяет исполнять произвольный код в рамках ОС и получить полный доступ к ней можно путем эксплуатации некорректной проверки параметров в хранимой процедуре sp_replwritetovarbin. Ниже перечислены менее значимые, но при этом достаточно распространенные уязвимости: Oracle TNS Listener Poison (выявлена у 30% клиентов; уязвимый сервис VxWorks WDB Debug (30% клиентов); Web Proxy Auto Discovery (30% клиентов).