Слабые пароли и устаревшее ПО - основные киберуязвимости госсектора

Кроме этого, критичные уязвимости встречаются и в мобильных приложениях, через которые граждане могут получить различные услуги. Они связаны с незашифрованным хранением данных на устройстве, раскрытием отладочной информации, недостатками контроля доступа. Такие данные приводят эксперты отдела анализа защищенности центра противодействия кибератакам Solar JSOC ГК "Солар".

В 2024 году эти недостатки были найдены в более чем 60% исследованных инфраструктур. В основе исследования - более 200 проектов по анализу защищенности и тестированию на проникновение (пентесту), проведенных в 2024 году. Из них 63% работ относилось к госсектору. В фокусе внимания экспертов также компании из других секторов, включая телеком, энергетику, ИТ, торговлю, транспорт др.

Недостатки, связанные с паролями, встретились в трети проектов. При исследовании внешних периметров пентестеры по-прежнему находят простые пароли и пароли по умолчанию: password, user1, demo, простые последовательности чисел, пустые пароли в приложениях "1С" и др.

Также распространенной проблемой остается использование ПО с известными, но незакрытыми уязвимостями. В частности, речь идет о таком ПО, как Liferay, 1С-Битрикс, Pentaho, Microsoft Exchange, Avaya Aura, Jira и др. Несмотря на то, что обновления безопасности для подобных уязвимостей уже давно доступны для установки, многие компании не применяют их вовремя, что играет на руку киберпреступникам.

В топ уязвимостей внешнего периметра входит и возможность внедрения SQL-кода в запросы к базе данных. Подобная атака позволяет злоумышленнику получить доступ к хранящимся в базах данным и локальным файлам или даже выполнить произвольные команды на атакуемом сервере.

По статистике, полученной по результатам всех проектов 2024 года, в среднем вектор преодоления внешнего периметра в реализованных проектах состоял из 2 шагов. А для достижения поставленной заказчиком цели в рамках проекта экспертам требовалось в среднем от 1 до 5 дней.