BI.ZONE TDR: в среднем на одну конечную точку приходится
2–3 мисконфигурации

Причина, почему мисконфигурации актуальны сегодня и будут актуальны в будущем, в том, что инфраструктуры становятся все более распределенными, многослойными и динамически изменяемыми: контейнеризация, оркестраторы, IaC (infrastructure as code), микросервисы, многочисленные настройки политик и интеграций. Каждое звено этой сложной системы создает новый, по умолчанию небезопасный интерфейс — и достаточно одной нестрогой политики доступа, одного оставленного без аутентификации эндпоинта или одной устаревшей зависимости в цепочке, чтобы атакующий получил возможность обойти существующие механизмы защиты и скомпрометировать инфраструктуру.

Динамика уязвимостей в 2025 году

По данным BI.ZONE, в 2025 году было опубликовано более 48 тысяч уязвимостей. Устойчивый рост их количества составил около 18% по сравнению с предыдущим годом.

Ключевые тренды уязвимостей 2025 года

Удаленное выполнение кода через инъекции. Уязвимости, вызванные недостаточной валидацией входных данных (SQL‑инъекции, инъекции команд ОС, Lua‑кода, NetBIOS), позволяющие внедрять и выполнять вредоносный код. Часто затрагивают веб‑интерфейсы, API и сетевые протоколы, приводя к компрометации серверов без аутентификации или при минимальных привилегиях.

Неаутентифицированное RCE через API, порты и десериализацию. Атаки без аутентификации, эксплуатирующие открытые эндпоинты, десериализацию объектов или поддельную полезную нагрузку (лицензии, запросы). Позволяют выполнять код как root/system, часто в корпоративных IT‑сервисах.

Эскалация привилегий. Уязвимости, позволяющие повысить права (до system/root) через локальные или удаленные атаки, включая релей NTLM, symlink, конфигурационные ошибки. Затрагивают ОС, виртуализацию и приложения.

Обход аутентификации и контроля доступа. Обход механизмов аутентификации, сессий или доступа, включая path traversal, подмену cookie, кражу сессий. Приводит к несанкционированному доступу.

Ошибки управления памятью и типами. Переполнение буфера, путаница типов, ошибки памяти, приводящие к RCE или DoS. Затрагивают браузеры, архиваторы, СУБД и приложения.

Манипуляция файлами и конфигурациями. Уязвимости с symlink, path traversal, небезопасной десериализацией или обработкой файлов/архивов, позволяющие внедрять код или обходить проверки.

Согласно данным BI.ZONE WAF, в 2025 году было опубликовано 18 тысяч уязвимостей для веб‑приложений, из которых 6% получили статус critical, а 29% — high. Среди самых популярных типов — XSS (19%), SQL injection (15%) и CSRF (5%).

Более того, по данным BI.ZONE WAF, можно выделить топ‑10 технологий, для которых регистрировались уязвимости: лидером стал WordPress (8%), после него следуют PHP (5%) и WordPress plugin (1%).

Почему число уязвимостей растет

Рост числа уязвимостей в 2025 году во многом обусловлен увеличением объема используемого программного обеспечения, включая активное внедрение новых решений. Расширение функциональности и рост кодовой базы закономерно приводят к выявлению большего числа уязвимостей и публикации новых CVE.

Мисконфигурации как вектор атаки

Мисконфигурации — это ошибки настройки, которые создают условия для эксплуатации, даже если в системе нет известных уязвимостей. В отличие от программных уязвимостей, мисконфигурации появляются не из‑за дефектов кода, а из‑за нарушений базовых практик администрирования, плохой сегментации, избыточных прав или отсутствия контроля изменений.

Active Directory

Слабые пароли доменных пользователей

В среднем около 5% пользовательских учетных записей защищены слабыми или типовыми паролями, которые могут быть эффективно подобраны с использованием стандартных словарных и комбинированных атак. Наиболее часто среди слабых паролей встречаются короткие значения с минимальной сложностью, предсказуемые комбинации символов, сезонные вариации, а также пароли, основанные на персональных или организационных данных, таких как даты, номера телефонов или наименование компании. Использование подобных паролей существенно снижает уровень защищенности учетных записей и упрощает их компрометацию.

Некорректно настроенные права доступа к шаблонам сертификатов

Некорректно настроенные права доступа к шаблонам сертификатов (ESC1—ESC16) являются одним из путей компрометации Active Directory. В среднем в одном домене обнаруживается не менее двух подобных мисконфигураций. Данные ошибки позволяют киберпреступникам злоупотреблять инфраструктурой Microsoft Active Directory Certificate Services (AD CS), выполнять атаки типа Kerberoasting и в сжатые сроки повышать привилегии вплоть до уровня доменного администратора, что представляет критическую угрозу безопасности доменной инфраструктуры.

Windows

Отсутствие централизованного управления паролями локальных администраторов

При отсутствии централизованного управления паролями локальных администраторов существенно повышается риск компрометации привилегированных учетных записей.

Для устранения данной проблемы рекомендуется внедрение Local Administrator Password Solution (LAPS). Решение обеспечивает автоматическую генерацию и регулярную смену паролей локальных администраторов, хранит актуальный пароль в защищенном атрибуте объекта Computer в Active Directory и ограничивает доступ к нему только авторизованным пользователям. Получение пароля возможно через стандартные инструменты администрирования, например PowerShell‑модуль Get‑AdmPwdPassword. Использование LAPS упрощает восстановление доступа к системам, снижает риск распространения атак по сети и способствует соблюдению требований кибербезопасности.

Устаревшие версии Windows

Около 10% хостов эксплуатируют версии Windows, находящиеся вне поддержки производителя и не получающие обновления безопасности. Отсутствие регулярных патчей приводит к накоплению известных уязвимостей, упрощает эксплуатацию систем с использованием публично доступных эксплоитов и значительно повышает риск компрометации корпоративной инфраструктуры.

Поддержка протокола SMBv1

На 4% хостов по‑прежнему включена поддержка протокола SMBv1. Данная версия SMB является устаревшей и небезопасной и содержит множество критических уязвимостей, включая уязвимости, позволяющие выполнять удаленный код в целевой системе. Эксплуатация SMBv1 активно применялась в реальных атаках, в частности шифровальщик WannaCry распространялся с использованием уязвимости данного протокола.

Использование учетной записи Microsoft

На 47% хостов разрешено создание и вход в систему с использованием учетной записи Microsoft. Такая конфигурация позволяет пользователям аутентифицироваться с помощью личных облачных учетных записей, минуя корпоративные механизмы контроля доступа. Применение учетных записей Microsoft повышает риски кибербезопасности, поскольку для них зачастую действуют менее строгие политики защиты по сравнению с доменными учетными записями. Кроме того, эти учетные записи связаны с внешними онлайн‑сервисами, что увеличивает вероятность их компрометации в результате фишинговых атак. Получив сведения об адресах электронной почты и пользовательских предпочтениях, злоумышленники могут повысить эффективность целевых атак и последующего доступа к корпоративной инфраструктуре.

Linux

SSH по паролю

На 29% хостов разрешен вход по SSH с использованием парольной аутентификации. Применение паролей для удаленного доступа повышает риск компрометации систем в результате перебора учетных данных и атак с использованием утекших паролей. Отказ от парольной аутентификации в пользу аутентификации по ключам позволяет существенно повысить уровень защищенности и снизить вероятность несанкционированного доступа.

Слабые пароли локальных учетных записей

Примерно на каждом сотом локальном компьютере используются слабые пароли пользовательских учетных записей. В ряде случаев выявленные пароли входят в список 500 наиболее распространенных и легко подбираемых значений. Использование слабых паролей существенно облегчает подбор учетных данных и может способствовать быстрому распространению вредоносного ПО, а также развитию атак внутри корпоративной сети.

Небезопасные правила sudo

На 5% хостов для сервисных учетных записей или групп настроены небезопасные правила sudo. Подобная конфигурация может быть использована злоумышленником для повышения привилегий и выполнения произвольных команд в системе. Для сервисных учетных записей рекомендуется строго ограничивать область действия sudo‑правил, предоставляя доступ только к тем командам, которые необходимы для корректной работы конкретного сервиса или приложения. В большинстве случаев предоставление сервисным учетным записям прав на выполнение любых команд через sudo является избыточным и небезопасным.

SSH под учетной записью root

На 8% хостов разрешен вход по SSH под учетной записью root с использованием пароля. Использование прямого входа под root снижает уровень контроля и затрудняет расследование инцидентов кибербезопасности, поскольку не позволяет однозначно идентифицировать действия конкретного администратора. Наличие персонализированных учетных записей с последующим повышением привилегий также снижает риск компрометации, так как учетная запись root является стандартной и часто становится целью атак с подбором пароля.

macOS

Отключен ALF

На 7% рабочих станций под управлением macOS отключен встроенный межсетевой экран application layer firewall (ALF). ALF является штатным механизмом защиты macOS и предназначен для контроля и фильтрации сетевого трафика на уровне приложений в соответствии с заданными правилами. Отключение межсетевого экрана снижает уровень сетевой изоляции хоста и увеличивает риск несанкционированного доступа, особенно при работе в недоверенных сетях. Следует отметить, что по умолчанию ALF включен, и его отключение требует осознанного изменения конфигурации системы.

Включен встроенный SSH‑сервер

На 10% устройств под управлением macOS активирован встроенный SSH‑сервер. Использование SSH на рабочих станциях обычных пользователей является небезопасной практикой, особенно для устройств, которые регулярно меняют местоположение и IP‑адреса. Рабочие станции, предназначенные для запуска пользовательских приложений (почтовые клиенты, браузеры, офисные средства), не должны использоваться в качестве серверов. В случаях, когда SSH необходим для работы корпоративных средств управления, доступ должен быть строго ограничен доверенными IP‑адресами и выделенными административными учетными записями.

Отключено шифрование диска

На 24% устройств macOS отключено шифрование диска с использованием FileVault. FileVault обеспечивает защиту данных путем автоматического шифрования содержимого диска и требует ввода пароля или ключа восстановления для получения доступа к информации. Отключение шифрования существенно повышает риск компрометации конфиденциальных данных в случае утери или физического доступа к устройству.

Слабые пароли локальных учетных записей

На 2% устройств macOS используются слабые пароли локальных пользовательских учетных записей. Применение легко подбираемых паролей упрощает компрометацию учетных данных и может способствовать ускоренному распространению вредоносного ПО или развитию атак внутри корпоративной сети.

Kubernetes

Анонимный доступ к kube‑apiserver

На 33% Kubernetes‑кластеров не отключена возможность анонимного доступа к API‑серверу. В таких конфигурациях kube‑apiserver может принимать запросы без аутентификации, что представляет серьезную угрозу безопасности, особенно при доступности API из внешних или недоверенных сетей. Наличие анонимного доступа к API потенциально позволяет злоумышленнику получать информацию о кластере и выполнять несанкционированные действия, что может привести к полной компрометации среды.

Шифрование данных в etcd

На 33% кластеров отсутствует шифрование данных в etcd на уровне API‑сервера. В данных конфигурациях в манифесте kube‑apiserver не задан параметр, указывающий на использование encryption‑configuration‑файла. Отсутствие шифрования приводит к хранению чувствительных данных Kubernetes (включая секреты) в открытом виде, что значительно повышает риск их компрометации при получении доступа к etcd или резервным копиям.

Проверка сертификатов kubelet

На 31% кластеров не выполняется проверка сертификатов kubelet со стороны Kubernetes API. Подобная конфигурация делает взаимодействие между компонентами кластера уязвимым для атак типа «человек посередине» (MitM). В случае эксплуатации данной уязвимости злоумышленник может подменить kubelet и перехватывать операции управления контейнерами, включая выполнение команд, перенаправление портов и доступ к журналам, что особенно опасно при работе в недоверенной сетевой среде.