«Информзащита» назвала ТОП популярных уязвимостей 2015 года

Компания «Информзащита» подготовила новый аналитический отчет по различным типам уязвимостей. Они были выявлены в 2015 году. Для этого специалисты «Информзащиты» провели тестирование на проникновение уязвимостей в госучреждениях, организациях ритейла, финансового сектора и телекоммуникационной отрасли.

Как заявил Александр Гореликов, руководитель отдела анализа защищенности, выполненная проверка позволила открыть множество слабых мест в корпоративных сетях заказчиков. При этом все выявленные небезопасные участки были своевременно защищены.

Число уязвимостей распределилось следующим образом:

• 67 % – в финансовом секторе,
• 21 % – в ритейле,
• 8 % – в государственном секторе,
• 4 % – в телекоме.

29 % клиентов с помощью средств социальной инженерии подвергались адресным атакам. Такая ситуация свидетельствует о низком уровне осведомленности корпоративных пользователей в области информационной безопасности. Каждому из клиентов была предложена соответствующая программа защиты данных на компьютере.

Уязвимости публичных web-приложений во внешнем периметре по классификации организации OWASP

Как показало исследование компании «Информзащита», наиболее распространенная уязвимость – межсайтовый скриптинг (Cross-Site Scripting). Именно он позволяет совершать атаки на пользователей различных приложений. Этот тип уязвимости зафиксирован у 25 % клиентов.

Второе место среди угроз безопасности получила небезопасная конфигурация web-приложений или их окружения (Security Misconfiguration). Такая проблема была обнаружена у 20 % клиентов.

В число наиболее распространенных сетевых угроз также попали 2 новые уязвимости:

1) хранение и открытая передача критичных данных (Sensitive Data Exposure);

2) возможность внедрения вредоносных подзапросов в легитимные запросы к серверу с последующими чтением и модификацией данных, включая компрометацию сервера (Injection).

Уязвимости сетевого уровня

В данном секторе сохранились тенденции 2014 года. Уязвимости почти не изменились. При этом их распространенность по отношению к атаке STP Claiming Root Role выросла практически в 3 раза и составила 59 %.

Также изменились показатели, касающиеся ARP Cache Poisoning и позволяющие внутреннему нарушителю реализовывать Man-In-The-Middle. Распространенность уязвимостей к этой атаке выросла на 6 %. В 2015 году она была выявлена в 66 % случаев.

Уязвимости уровня приложений

В ушедшем году лидерами среди уязвимостей стали:

• SNMP-community строки по умолчанию;
• использование учетных записей по умолчанию.

Угрозы двух этих типов были обнаружены у 50 % клиентов «Информзащиты». Следующими по распространенности стали уязвимости протокола SSLv3 (POODLE) и криптографического пакета OpenSSL (MS14-066). Вторая имеет большую известность как Winshock и в 2014 году встречалась значительно реже. Наличие POODLE и MS14-066 зафиксировано в 46 % случаев.

Менее значимыми, но достаточно распространенными угрозами стали:

• недоверенный сертификат SSL,
• уязвимость Oracle TNS Listener Poison,
• множественные уязвимости в web-сервере Apache (версия 2.2 < 2.2.28).

С опасностями, выявленными в исследовании компании «Информзащита», помогает справиться программное обеспечение, которое представлено в интернет-магазине Spectrasoft. Более подробно о предлагаемых продуктах вы можете узнать по телефону: +7 (495) 984-33-83.