Удаленное исполнение кода (RCE) — самая серьезная и распространенная угроза для веб-приложений. Согласно данным сервиса для защиты веб-приложений BI.ZONE WAF, нет ни одной отрасли, в которой на RCE-атаки приходилось бы меньше пятой части всех вредоносных веб-запросов.

По данным исследования Threat Zone 2024, один из основных методов получения первоначального доступа в инфраструктуру — взлом публично доступных приложений. Специалисты BI.ZONE WAF проанализировали веб-атаки, нацеленные на компрометацию публично доступных приложений, за первую половину 2024 года и выяснили, что почти три четверти атак были нацелены на CMS-, CRM- и вики-системы, такие как «Битрикс», WordPress и Confluence.

Количество атак на перечисленные веб-приложения эксперты связывают с комбинацией нескольких факторов. Во-первых, эти приложения крайне распространены в компаниях всех отраслей и размеров. Во-вторых, они часто обновляются и дополняются сторонними модулями. Это приводит к тому, что в них регулярно находят новые уязвимости, которые могут эксплуатировать злоумышленники. В-третьих, эти приложения обычно доступны из интернета, а не только из инфраструктуры компании: сайты — для выполнения своей задачи, CRM- и вики-системы — для удобства.

Эксперты выявили топ-3 веб-угроз, которые пытаются реализовать злоумышленники:

  1. RCE — 42% от общего трафика веб-атак;
  2. атаки, направленные на получение доступа к файлам конфигурации, баз данных и пр. (обход пути), — 16%;
  3. кража пользовательских данных (межсайтовый скриптинг, расщепление HTTP-запроса, загрязнение прототипа и пр.) — 15%.

Эксплуатация RCE-уязвимостей-представляет наибольшую угрозу не только по распространенности, но и по серьезности последствий. В случае успеха злоумышленники смогут получить полный контроль над целевой системой, включая возможность удалять, изменять или получать доступ к конфиденциальным данным и системным ресурсам. Ситуация усугубляется тем, что от появления в открытом доступе примера эксплуатации (PoC) до первой попытки использовать уязвимость для атаки проходят считаные часы — это подтверждают последние исследования.

«Важную роль в обеспечении безопасности играет оперативное устранение уязвимостей. Однако обновление ПО до последней версии, в которой исправлены ошибки, может вызывать сбои в работе приложения. В BI.ZONE WAF мы выстроили процессы R&D и реагирования так, чтобы выпускать правила для защиты от эксплуатации новых критических уязвимостей за 2–4 часа при наличии PoC, а без PoC — за 1–2 дня. Таким образом, пока клиент тестирует последнюю версию обновления, мы уже обеспечиваем его защиту», — отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Отраслевой анализ показывает, что RCE возглавляет топ веб-угроз для большинства секторов экономики и ни в одном случае доля этой угрозы не опускается ниже 21%. В частности, самые высокие доли RCE-атак от числа всех атак на отрасли зафиксированы в сферах:

  1. профессиональные услуги — 58%;
  2. строительство и недвижимость — 50%;
  3. медиа — 49%.

Доля RCE-атак становится все более заметной с 2020-х годов. Если в 2010-х злоумышленники зарабатывали на скомпрометированных веб-приложениях, продавая доступ к ним на теневых форумах, то сейчас атакующие не могут рассчитывать на долгое присутствие на веб-сервере из-за частых обновлений и наличия защитных средств на конечных серверах. Поэтому им эффективнее использовать известные уязвимости для RCE-атак, которые дают быстрый результат и позволяют получить удаленный доступ, не закрепляясь на конечном сервере веб-приложения.