Новости 04.02.26 14:08

BI.ZONE TDR: в среднем на одну конечную точку приходится 2–3 мисконфигурации

2025 год подтверждает статистику последних лет: мисконфигурации и уязвимости по-прежнему остаются одним из ключевых векторов получения первоначального доступа при атаках на IT-инфраструктуру.

Современные инфраструктуры становятся все более распределенными, многослойными и динамически изменяемыми: контейнеризация, оркестраторы, IaC, микросервисная архитектура, многочисленные политики и интеграции. Каждое звено этой сложной системы формирует новый, по умолчанию небезопасный интерфейс. Достаточно одной нестрогой политики доступа, одного эндпоинта без аутентификации или одной устаревшей зависимости в цепочке, чтобы упростить атакующему обход существующих механизмов защиты.

Динамика роста уязвимостей в 2025 году

По данным BI.ZONE, в 2025 году было опубликовано более 48 тысяч уязвимостей. Устойчивый рост их количества составил около 18% по сравнению с предыдущим годом. Среди них, по данным BI.ZONE WAF, около 18 тысяч — уязвимости для веб-приложений, из которых 6% получили статус critical, а 29% — high.

При этом атакующие, как правило, используют простые и быстро реализуемые сценарии: свежие RCE-уязвимости, открытые сервисы и ошибки конфигурации.

Среди ключевых трендов:

  • Удаленное выполнение кода через инъекции. Уязвимости, вызванные недостаточной валидацией входных данных (SQL-инъекции, инъекции команд ОС, Lua-кода, NetBIOS), позволяют внедрять и выполнять вредоносный код. Часто они затрагивают веб-интерфейсы, API и сетевые протоколы и приводят к компрометации серверов, обходя аутентификацию либо используя минимальные привилегии.
  • Неаутентифицированное удаленное выполнение кода. Атаки без аутентификации, эксплуатирующие открытые эндпоинты, уязвимости десериализации объектов или поддельную полезную нагрузку (лицензии, запросы).
  • Эскалация привилегий. Уязвимости, позволяющие повысить права доступа (до System/root) в рамках локальных или удаленных атак, включая NTLM-relay, атаки с использованием symlink и конфигурационные ошибки. Затрагивают операционные системы, виртуализацию и прикладные сервисы.
  • Обход аутентификации и контроля доступа. Эксплуатация ошибок в механизмах аутентификации, управления сессиями и контроле доступа, включая path traversal, подмену cookie и кражу сессий. Такие уязвимости приводят к несанкционированному доступу.

Мисконфигурации как вектор атаки

Специалисты BI.ZONE TDR проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 000 хостов — серверов и рабочих станций. В 2025 году мисконфигурации (небезопасные настройки системы) стали простым и надежным для атакующего вектором: они не требуют сложного эксплоита, а позволяют атакующему сразу получить привилегии, горизонтально перемещаться или закрепиться в инфраструктуре. По данным BI.ZONE TDR, в среднем на один хост приходится 2–3 мисконфигурации разной критичности.

Слабая парольная политика

На 47% хостов Microsoft разрешено создание и вход в систему с использованием учетной записи Microsoft. Такая конфигурация позволяет пользователям аутентифицироваться с помощью личных облачных учетных записей, минуя корпоративные механизмы контроля доступа. Применение учетных записей Microsoft повышает риски кибербезопасности, поскольку для них зачастую действуют менее строгие политики защиты по сравнению с доменными учетными записями. Кроме того, эти учетные записи связаны с внешними онлайн-сервисами, что увеличивает вероятность их компрометации в результате фишинговых атак. Получив сведения об адресах электронной почты и о пользовательских предпочтениях, злоумышленники могут повысить эффективность целевых атак и последующего доступа к корпоративной инфраструктуре.

Примерно на каждом сотом локальном компьютере Linux используются слабые пароли пользовательских учетных записей. В ряде случаев выявленные пароли входят в список 500 наиболее распространенных и легко подбираемых значений. Использование слабых паролей существенно облегчает подбор учетных данных и может способствовать быстрому распространению вредоносного ПО, а также развитию атак внутри корпоративной сети.

На 29% хостов Linux разрешен вход по SSH с использованием парольной аутентификации. Применение паролей для удаленного доступа повышает риск компрометации систем в результате перебора учетных данных и атак с использованием утекших паролей. Отказ от парольной аутентификации в пользу аутентификации по ключам позволяет существенно повысить уровень защищенности и снизить вероятность несанкционированного доступа.

Ошибки контроля доступа

На 5% хостов для сервисных учетных записей или групп настроены небезопасные правила sudo. Подобная конфигурация может быть использована злоумышленником для повышения привилегий и выполнения произвольных команд в системе.

На 8% хостов разрешен вход по SSH под учетной записью root с использованием пароля. Использование прямого входа под root снижает уровень контроля и затрудняет расследование инцидентов кибербезопасности, поскольку не позволяет однозначно идентифицировать действия конкретного администратора.

Устаревшие версии ПО

Около 10% хостов эксплуатируют версии Windows, находящиеся вне поддержки производителя и не получающие обновления безопасности. Отсутствие регулярных патчей приводит к накоплению известных уязвимостей, упрощает эксплуатацию систем с использованием публично доступных эксплоитов и значительно повышает риск компрометации корпоративной инфраструктуры.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

В целом анализ данных BI.ZONE TDR показывает, что неверные конфигурации присутствуют на заметной доле корпоративных хостов и кластеров. Это касается как слабых или стандартных паролей, так и мисконфигураций в инфраструктурах Active Directory, Kubernetes, а также на конечных системах Linux, macOS и Windows. Исправление мисконфигураций и управление уязвимостями — два взаимосвязанных направления, формирующих фундамент инфраструктурной устойчивости. В отличие от известных программных уязвимостей с CVE-номерами, мисконфигурации часто остаются незамеченными в автоматических отчетах, однако последствия их эксплуатации могут быть столь же критичны. Современный подход требует рассматривать оба класса проблем как единую поверхность риска, подлежащую комплексному управлению.

Источник: BI.ZONE

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Еще по теме

Айтеко внедрила решение для видеоконтроля промышленной печати на предприятиях Сегежа Групп РОСА и университет им. проф. М.А. Бонч-Бруевича договорились о сотрудничестве в сфере подготовки ИТ-кадров ИИ-ассистент в SpaceWeb стал лучшим другом веб-разработчика Валовая прибыль ПАО «Софтлайн» за 12 месяцев 2025 года увеличилась на 26% год к году до 46,6 млрд рублей МТС Линк переводит субтитры на 18 иностранных языков Центр безопасности МАХ подвел итоги работы за январь 2026 Разработчики смогут создавать персональные ИИ-навыки под свои задачи на платформе SourceCraft Сбер в три раза снизил цены на GigaChat для бизнеса Спутник-платформа RUVDS успешно выведен на целевую орбиту и приступил к летным испытаниям Конференция INFOSTART TEAM EVENT 2026: ключевые технологии, архитектура и управление 1С-проектами — весной в Москве InfoWatch Vision поможет проследить жизненный цикл документов Руцентр запускает индекс деловой активности для доменного рынка «ДАР» помог Сравни оптимизировать архитектуру данных Бухгалтерия в фокусе: в 2025 году злоумышленники стали вновь массово атаковать организации через ЭДО для кражи денег GreenData назвала ключевые тренды, которые сформируют ИТ-ландшафт в 2026 году
Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее