Их цель — поиск уязвимости сайтов
Специалисты сервиса по защите веб-приложений BI.ZONE WAF выяснили, что к концу 2024 года более чем в три раза выросла доля разведывательных атак, направленных на поиск слабых мест в веб-ресурсах российских компаний. Это связано с популярностью и повышением доступности технологий искусственного интеллекта среди злоумышленников. При этом самыми распространенными остаются RCE-атаки, в результате которых киберпреступник может захватить полный контроль над сайтом.
Эксплуатация уязвимостей сайтов и других публично доступных веб-приложений — один из самых популярных способов проникновения в инфраструктуру российских компаний. По оценке экспертов BI.ZONE WAF, наибольшую долю таких атак (36%) в 2024 году составляет удаленное исполнение кода (RCE). У этой атаки самые опасные последствия: в случае успеха злоумышленник может полностью захватить контроль над сервером веб-приложения, а значит, подменять контент, красть или удалять данные, получать доступ к системным ресурсам. В медицине и строительстве на эти угрозы приходится около половины всех атак — 53% и 47% соответственно.
В IT, ритейле и туризме доля RCE-атак также превышает общегодовой показатель. К наиболее популярным векторам таких атак относятся инъекции команд операционной системы (OS command injection) — 46% RCE-атак, а также локальное/удаленное включение файлов (local/remote file inclusion) — 40%.
Cамым ярким трендом стал более чем трехкратный рост (220%) доли разведывательных атак: если в первой половине 2024 года она составляла 6,8% от общего числа веб-угроз, то во второй — уже порядка 22%. В эту категорию попадают нелегитимные запросы от специальных утилит, сканеров и фаззеров, которые автоматизированно ищут слабые места в коде веб-ресурсов. Этому типу атак за год больше всего подвергались компании в сфере медиа (54%), промышленности (47%), финансов и страхования (31%).
Эксперты ожидают, что разведывательный трафик будет встречаться еще чаще из-за распространения инструментов на базе ИИ и машинного обучения. Они снижают порог входа для злоумышленников: чтобы описать запрос для модели, не требуется техническая квалификация, которая важна для ручного развертывания, настройки и обработки результатов работы сканеров. Кроме того, инструментарий для разведки становится доступнее, уменьшая стоимость атак.
При этом было бы заблуждением считать, что атаки на сайты с целью взлома направлены только на крупные и ценные с точки зрения киберпреступника ресурсы.
«Сегодня боты непрерывно сканируют миллионы веб-приложений в поисках уязвимых точек. Когда находится способ развить атаку, подключаются люди и оценивают ее перспективность. Если усилий не требуется, например из-за устаревшего ПО, могут сначала взломать сайт, а потом уже выбрать способ монетизации: украсть данные и продать, применить их для фишинга, атаковать клиентов и партнеров взломанной организации. Для защиты от таких автоматизированных разведывательных атак помогают базовые меры типа web application firewall: они побуждают злоумышленников переключиться на другие цели», — сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.
Попытки получить доступ к файлам конфигурации, логам сервера и пр. (например, атака обхода пути — path traversal) чаще всего фиксировались в запросах к ресурсам транспортных и логистических компаний (73% в среднем за год), предприятий энергетического сектора (42%) и организаций, оказывающих юридические, консалтинговые, рекламные и прочие профессиональные услуги (38%). В целом доля таких веб-угроз в 2024 году составила 16% от общего трафика.
Доля атак, направленных на кражу данных посетителей сайта (межсайтовый скриптинг, расщепление HTTP‑запроса, загрязнение прототипа и пр.), занимает 14% по итогам года. Чаще всего с этим сталкивались государственные организации (66% атак), телекоммуникационные компании (37%) и образовательные учреждения (30%). Эксперты отчасти связывают это с распространением в мессенджерах превью-ботов — автоматических механизмов, которые обеспечивают предварительный просмотр ссылок прямо в чате. С их помощью злоумышленники анонимно проверяют, уязвимо ли веб-приложение к межсайтовому скриптингу. Для этого формируется вредоносная ссылка, которую способны обрабатывать некоторые превью-боты, поддерживающие JavaScript. Положительный результат означает, что на уязвимую веб-страницу можно внедрить вредоносный код, направленный на посетителя страницы. Задачу киберпреступникам упрощает практика снижать параметры защиты сайта для превью-ботов.
Замыкают пятерку наиболее распространенных веб-угроз попытки получить доступ к базе данных (например, SQL-инъекции) — 10% от общего трафика. В 2024 году с этим чаще всего сталкивались организации в сфере ритейла (26%) и финансов (11%).
По данным BI.ZONE WAF, в 2024 году атаки на используемые российскими компаниями веб-приложения шли из 99 стран. При этом 96% попыток взлома проводилось с IP-адресов, связанных с пятью государствами. Топ-5 возглавляет Россия (84%). Такой высокий процент объясняется тем, что в ответ на геоблокировку запросов злоумышленники используют сервисы подмены IP-адреса (прокси, туннелирование) и арендуют серверы внутри страны. Далее в списке следуют Германия (5,7%), США (3,7%), Нидерланды (1,6%) и Чехия (0,9%).
Среди проблем безопасности сайтов чаще всего встречается использование устаревших технологий, которые содержат известные ошибки: неактуальных версий систем управления контентом (CMS), протоколов связи между приложением и браузером, компонентов приложений и пр.
Попытки проэксплуатировать неисправленные уязвимости Common Gateway Interface, JavaServer Pages, а также специфичные для технологии Flash RCE-уязвимости локального и удаленного включения файлов составляют около 12% от всех атак. При этом поиск таких элементов также можно автоматизировать с помощью сканеров.
Для защиты от компрометации сайта рекомендуется регулярно обновлять программное обеспечение, проводить аудит безопасности веб-приложений с помощью сканирования на уязвимости и пользоваться межсетевыми экранами уровня приложений, например BI.ZONE WAF.
О компании
BI.ZONE — компания по управлению цифровыми рисками, она помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов в 15 странах мира.
