Уязвимости с высоким уровнем критичности были обнаружены в 17% корпоративных веб-приложений (корпоративные порталы, личные кабинеты клиентов и т.п.), исследованных экспертами отдела анализа защищенности Solar JSOC группы компаний «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности) в 2023 году. Среди мобильных приложений этот показатель примерно в два раза меньше – 7%. Таким образом, мобильные приложения защищены лучше и менее подвержены критическим уязвимостям.

Больше половины веб-приложений имеют уязвимости высокой или средней степени критичности, то есть через них можно нанести существенный ущерб информационным активам компании. При этом абсолютное большинство уязвимостей обладают низкой сложностью эксплуатации – не требуют выполнения каких-либо дополнительных условий. А 46% обнаруженных недостатков потенциальный хакер может использовать даже без авторизованного доступа. 

Недостатки высокой и средней степени критичности есть и в мобильных приложениях. Большинство (77%) уязвимостей сконцентрировано в серверной части, остальные – в клиентской.  Более того, почти все критичные для бизнеса уязвимости были выявлены именно в серверной части.

Самой распространенной проблемой как мобильных, так и веб-приложений уже несколько лет остаются недостатки контроля доступа (уязвимость выявлена в 60% и 75% проектов соответственно). Успешная эксплуатация этой уязвимости чревата несанкционированным доступом к данным пользователей и информации, которая обрабатывается в приложении, а также позволяет пользователю действовать вне установленных привилегий, что может быть использовано злоумышленником для компрометации чувствительных данных или получения дополнительных функциональных возможностей.

Еще одной серьезной проблемой веб-приложений является раскрытие отладочной и конфигурационной информации, включая логины, пароли и cookie пользователей, настройки используемых СУБД, внутренние IP-адреса и прочие сведения. Недостаток обнаружен в 73% проектов. Подобная информация позволяет злоумышленнику упростить поиск известных уязвимостей и подготовку последующих атак.  Также треть веб-приложений может быть взломана с помощью атаки XSS (межсайтовое внедрение сценариев), в результате которой злоумышленник может менять содержимое отображаемой страницы и выполнять действия от имени пользователей.

В серверной части мобильных приложений также встречаются такие недостатки, как раскрытие отладочной и конфигурационной информации (настройки, внутренние адреса, компоненты приложения) и нарушение бизнес-логики приложения. Для клиентской части большинства приложений характерны небезопасное хранение данных на устройстве, отсутствие обфускации исходного кода приложения и раскрытие в нем информации о тестовых доменах и токенах.

«Приложения (как мобильные, так и веб) интересны злоумышленникам, так как содержат конфиденциальные данные, а также информацию, которая помогает реализовать успешную атаку на организацию. Например, приложения могут содержать ошибки, позволяющие злоумышленникам получить доступ к персональным данным третьих лиц, или даже стать начальной точкой вектора преодоления внешнего периметра. Проблема сейчас особенно актуальна, так как все бизнесы активно развивают дистанционные форматы взаимодействия с партнерами и клиентами, и часто, желая быстрее выпустить приложение, упускают из виду вопросы ИБ», – сказал руководитель отдела анализа защищенности Solar JSOC ГК «Солар» Александр Колесов.

Ранее ГК «Солар» объявляла о запуске сервиса Solar CPT. Сервис выявляет критические уязвимости и недостатки меняющегося внешнего ИТ-периметра, которыми могут воспользоваться хакеры. Найденные в ходе сканирования недостатки верифицируются экспертами анализа защищенности, после чего заказчик получает практические рекомендации по защите. В настоящее время ведутся пилотные проекты с организациями из ИТ-отрасли и перерабатывающей промышленности.

С полной версией отчета Solar JSOC «Ключевые уязвимости информационных систем российских компаний» можно ознакомиться по ссылке.

О компании

Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.

С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 850 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и хакерских атак. Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала.

Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие.

ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.

Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры в рамках национального проекта «Цифровая экономика» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.

Штат компании — более 1 800 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.

• 10 Апреля, 14:27