BI.ZONE: 42% атак на веб‑приложения — удаленное исполнение кода

Удаленное исполнение кода (RCE) — главная угроза для веб‑приложений. Согласно данным BI.ZONE WAF, ни одна отрасль не застрахована от RCE‑атак, составляющих более пятой части всех вредоносных запросов

31 июля 2024 г.

По данным исследования Threat Zone 2024, один из основных методов получения первоначального доступа в инфраструктуру — взлом публично доступных приложений. Специалисты BI.ZONE WAF проанализировали веб‑атаки, нацеленные на компрометацию публично доступных приложений, за первую половину 2024 года и выяснили, что почти три четверти атак были нацелены на CMS-, CRM- и вики‑системы, такие как «Битрикс», WordPress и Confluence.

Количество атак на перечисленные веб‑приложения эксперты связывают с комбинацией нескольких факторов. Во‑первых, эти приложения крайне распространены в компаниях всех отраслей и размеров. Во‑вторых, они часто обновляются и дополняются сторонними модулями. Это приводит к тому, что в них регулярно находят новые уязвимости, которые могут эксплуатировать злоумышленники. В‑третьих, эти приложения обычно доступны из интернета, а не только из инфраструктуры компании: сайты — для выполнения своей задачи, CRM- и вики‑системы — для удобства.

Эксперты выявили топ‑3 веб‑угроз, которые пытаются реализовать злоумышленники:

RCE — 42% от общего трафика веб‑атак.
Атаки, направленные на получение доступа к файлам конфигурации, баз данных и пр. (обход пути), — 16%.
Кража пользовательских данных (межсайтовый скриптинг, расщепление HTTP‑запроса, загрязнение прототипа и пр.) — 15%.

Эксплуатация RCE‑уязвимостей представляет наибольшую угрозу не только по распространенности, но и по серьезности последствий. В случае успеха злоумышленники смогут получить полный контроль над целевой системой, включая возможность удалять, изменять конфиденциальные данные или получать доступ к ним и системным ресурсам. Ситуация усугубляется тем, что от появления в открытом доступе примера эксплуатации (PoC) до первой попытки использовать уязвимость для атаки проходят считаные часы — это подтверждают последние исследования.

Важную роль в обеспечении безопасности играет оперативное устранение уязвимостей. Однако обновление ПО до последней версии, в которой исправлены ошибки, может вызывать сбои в работе приложения. В BI.ZONE WAF мы выстроили процессы R&D и реагирования так, чтобы выпускать правила для защиты от эксплуатации новых критических уязвимостей за 2–4 часа при наличии PoC, а без PoC — за 1–2 дня. Таким образом, пока клиент тестирует последнюю версию обновления, мы уже обеспечиваем его защиту.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Отраслевой анализ показывает, что RCE возглавляет топ веб‑угроз для большинства секторов экономики и ни в одном случае доля этой угрозы не опускается ниже 21%. В частности, самые высокие доли RCE‑атак от числа всех атак на отрасли зафиксированы в следующих сферах:

Профессиональные услуги — 58%.
Строительство и недвижимость — 50%.
Медиа — 49%.

Доля RCE‑атак становится все более заметной с 2020‑х годов. Если в 2010‑х злоумышленники зарабатывали на скомпрометированных веб‑приложениях, продавая доступ к ним на теневых форумах, то сейчас атакующие не могут рассчитывать на долгое присутствие на веб‑сервере из‑за частых обновлений и наличия защитных средств на конечных серверах. Поэтому злоумышленникам эффективнее использовать известные уязвимости для RCE‑атак, которые дают быстрый результат и позволяют получить удаленный доступ, не закрепляясь на конечном сервере веб‑приложения.