Осенний дайджест веб‑уязвимостей от команды BI.ZONE WAF
С сентября по ноябрь аналитики BI.ZONE WAF зафиксировали 4566 уязвимостей, из них 1230 относятся к уровням high и critical, а для 62 уже опубликованы рабочие PoC‑эксплоиты. Это вершина айсберга, на которую в первую очередь смотрят атакующие и специалисты по безопасности веб‑приложений.
По типам веб‑атак в сравнении с прошлым сезоном серьезных изменений не произошло: SQL‑инъекции, XSS и CSRF по‑прежнему остаются самыми массовыми. Вместе с тем фиксируется появление новых уязвимостей, связанных с внедрением кода (code injection), а также переполнением буфера и кучи (buffer/heap overflow).
Интересно выглядит динамика новых уязвимостей по платформам. В осеннем топе от исследователей поднялись Nagios XI, Liferay Portal и другие специфичные инфраструктурные платформы. Атакующие активно прощупывают менее популярные корпоративные решения со слабой, устаревшей или редко обновляемой защитой. Важно учитывать, что отдельные сервисы и продукты, например Adobe Experience Manager, исчезли из этой сезонной статистики, так как фокус исследователей и пентестеров сместился на другие решения. Однако ранее выявленные уязвимости продолжают представлять риск.
WordPress по‑прежнему занимает первую строчку рейтинга из‑за популярности платформы среди пользователей. Особое внимание исследователи уделяют плагинам (Elementor, WooCommerce и др.), в них много новых уязвимостей. Это подчеркивает, что нужно не только защищать саму CMS, но также обращать внимание на используемые плагины в разрезе безопасного использования.
При этом общая доля уязвимостей с PoC остается незначительной: из 4566 уязвимостей в публичных источниках обнаружено 62 PoC (1,36%). Аналитики считают, что PoC могло бы быть больше, однако исследователи не спешат их публиковать. Эксперты по поиску уязвимостей стараются передавать информацию о находках напрямую вендору, чтобы зарегистрировать их в CVE/БДУ и получить вознаграждение. Вендоры обычно не публикуют PoC, чтобы минимизировать потенциальные риски клиентов. Ключевым фактором снижения рисков становится использование средств защиты (например, BI.ZONE WAF), а также своевременное реагирование подразделений безопасности на новые уязвимости, которое может включать в себя обновление программного обеспечения.