Доля разведывательных атак с целью поиска уязвимостей сайтов выросла на 220%

По оценке экспертов BI.ZONE WAF, это связано с популярностью и повышением доступности технологий ИИ у злоумышленников. При этом самыми распространенными в 2024 году остаются RCE‑атаки

3 февраля 2025 г.

Эксплуатация уязвимостей сайтов и других публично доступных веб-приложений — один из самых популярных способов проникновения в инфраструктуру российских компаний. По оценке специалистов BI.ZONE WAF, наибольшую долю таких атак (36%) в 2024 году составляет удаленное исполнение кода (RCE). У этой атаки самые опасные последствия: в случае успеха злоумышленник может полностью захватить контроль над сервером веб‑приложения, а значит, подменять контент, красть или удалять данные, получать доступ к системным ресурсам. В медицине и строительстве на эти угрозы приходится около половины всех атак — 53% и 47% соответственно. В IT, ритейле и туризме доля RCE‑атак также превышает общегодовой показатель. К наиболее популярным векторам таких атак относятся инъекции команд операционной системы (OS command injection) — 46% RCE‑атак, а также локальное/удаленное включение файлов (local/remote file inclusion) — 40%.

Cамым ярким трендом стал более чем трехкратный рост (220%) доли разведывательных атак: если в первой половине 2024 года она составляла 6,8% от общего числа веб‑угроз, то во второй — уже порядка 22%. В эту категорию попадают нелегитимные запросы от специальных утилит, сканеров и фаззеров, которые автоматизированно ищут слабые места в коде веб‑ресурсов. Этому типу атак за год больше всего подвергались компании в сфере медиа (54%), промышленности (47%), финансов и страхования (31%). Эксперты ожидают, что разведывательный трафик будет встречаться еще чаще из‑за распространения инструментов на базе ИИ и машинного обучения. Они снижают порог входа для злоумышленников: чтобы описать запрос для модели, не требуется техническая квалификация, которая важна для ручного развертывания, настройки и обработки результатов работы сканеров. Кроме того, инструментарий для разведки становится доступнее, уменьшая стоимость атак.

При этом было бы заблуждением считать, что атаки на сайты с целью взлома направлены только на крупные и ценные с точки зрения киберпреступника ресурсы.

Сегодня боты непрерывно сканируют миллионы веб‑приложений в поисках уязвимых точек. Когда находится способ развить атаку, подключаются люди и оценивают ее перспективность. Если усилий не требуется, например из‑за устаревшего ПО, могут сначала взломать сайт, а потом уже выбрать способ монетизации: украсть данные и продать, применить их для фишинга, атаковать клиентов и партнеров взломанной организации. Для защиты от таких автоматизированных разведывательных атак помогают базовые меры типа web application firewall: они побуждают злоумышленников переключиться на другие цели.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности

Попытки получить доступ к файлам конфигурации, логам сервера и пр. (например, атака обхода пути — path traversal) чаще всего фиксировались в запросах к ресурсам транспортных и логистических компаний (73% в среднем за год), предприятий энергетического сектора (42%) и организаций, оказывающих юридические, консалтинговые, рекламные и прочие профессиональные услуги (38%). В целом доля таких веб‑угроз в 2024 году составила 16% от общего трафика.

Доля атак, направленных на кражу данных посетителей сайта (межсайтовый скриптинг, расщепление HTTP‑запроса, загрязнение прототипа и пр.), занимает 14% по итогам года. Чаще всего с этим сталкивались государственные организации (66% атак), телекоммуникационные компании (37%) и образовательные учреждения (30%). Эксперты отчасти связывают это с распространением в мессенджерах превью‑ботов — автоматических механизмов, которые обеспечивают предварительный просмотр ссылок прямо в чате. С их помощью злоумышленники анонимно проверяют, уязвимо ли веб‑приложение к межсайтовому скриптингу. Для этого формируется вредоносная ссылка, которую способны обрабатывать некоторые превью‑боты, поддерживающие JavaScript. Положительный результат означает, что на уязвимую веб‑страницу можно внедрить вредоносный код, направленный на посетителя страницы. Задачу киберпреступникам упрощает практика снижать параметры защиты сайта для превью‑ботов.

Замыкают пятерку наиболее распространенных веб‑угроз попытки получить доступ к базе данных (например, SQL‑инъекции) — 10% от общего трафика. В 2024 году с этим чаще всего сталкивались организации в сфере ритейла (26%) и финансов (11%).

По данным BI.ZONE WAF, в 2024 году атаки на используемые российскими компаниями веб‑приложения шли из 99 стран. При этом 96% попыток взлома проводилось с IP‑адресов, связанных с пятью государствами. Топ‑5 возглавляет Россия (84%). Такой высокий процент объясняется тем, что в ответ на геоблокировку запросов злоумышленники используют сервисы подмены IP‑адреса (прокси, туннелирование) и арендуют серверы внутри страны. Далее в списке следуют Германия (5,7%), США (3,7%), Нидерланды (1,6%) и Чехия (0,9%).

Среди проблем безопасности сайтов чаще всего встречается использование устаревших технологий, которые содержат известные ошибки: неактуальных версий систем управления контентом (CMS), протоколов связи между приложением и браузером, компонентов приложений и пр. Попытки проэксплуатировать неисправленные уязвимости Common Gateway Interface, JavaServer Pages, а также специфичные для технологии Flash RCE‑уязвимости локального и удаленного включения файлов составляют около 12% от всех атак. При этом поиск таких элементов также можно автоматизировать с помощью сканеров.

Для защиты от компрометации сайта рекомендуется регулярно обновлять программное обеспечение, проводить аудит безопасности веб‑приложений с помощью сканирования на уязвимости и пользоваться межсетевыми экранами уровня приложений, например BI.ZONE WAF.