Эксплуатация уязвимостей сайтов и других публично доступных приложений — один из самых популярных способов проникновения в инфраструктуру российских компаний. Наибольшую долю таких атак (36%) в 2024 г. составляло удаленное исполнение кода (RCE). У этой атаки самые опасные последствия: злоумышленник может полностью захватить контроль над сервером веб-приложения – подменять контент, красть или удалять данные, получать доступ к системным ресурсам. В медицине и строительстве на эти угрозы приходится около половины всех атак — 53% и 47%. В IT, ритейле и туризме доля RCE-атак также превышает общегодовой показатель.
К наиболее популярным векторам таких атак относятся инъекции команд операционной системы (OS command injection) — 46% RCE-атак, а также локальное/удаленное включение файлов (local/remote file inclusion) — 40%.
Cамым ярким трендом стал более чем трехкратный рост (220%) разведывательных атак: если в первой половине 2024 г. она составляла 6,8% от общего числа сетевых угроз, то во второй — порядка 22%. Эксперты ожидают, что разведывательный трафик будет встречаться еще чаще из-за распространения инструментов на базе ИИ и машинного обучения. Они снижают порог входа для злоумышленников: чтобы описать запрос для модели, не требуется квалификация, которая важна для ручного развертывания, настройки и обработки результатов работы сканеров.
Но заблуждение считать, что атаки на сайты с целью взлома направлены только на крупные и ценные с точки зрения киберпреступников ресурсы.
«Сегодня боты непрерывно сканируют миллионы веб-приложений в поисках уязвимых точек. Когда находится способ развить атаку, подключаются люди и оценивают ее перспективность. Если усилий не требуется, например из-за устаревшего ПО, могут сначала взломать сайт, а потом уже выбрать способ монетизации: украсть данные и продать, применить их для фишинга, атаковать клиентов и партнеров взломанной организации. Для защиты от автоматизированных разведывательных атак помогают базовые меры типа web application firewall: они побуждают злоумышленников переключиться на другие цели», — сказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.
В 2024 г. атаки на веб-приложения шли из 99 стран. 96% попыток взлома проводилось с IP-адресов, связанных с пятью государствами. Топ-5 возглавляет Россия (84%). Это объясняется тем, что в ответ на геоблокировку запросов злоумышленники используют сервисы подмены IP-адреса (прокси, туннелирование) и арендуют серверы в стране. В списке – Германия (5,7%), США (3,7%), Нидерланды (1,6%) и Чехия (0,9%).
Для защиты от компрометации сайта рекомендуется регулярно обновлять ПО, проводить аудит безопасности веб-приложений посредством сканирования на уязвимости и пользоваться межсетевыми экранами уровня приложений от BI.ZONE и
других вендоров.
