2025 г. подтверждает статистику последних лет: мисконфигурации и уязвимости по-прежнему остаются одним из ключевых векторов получения первоначального доступа при атаках на ИT-инфраструктуру. Об этом CNews сообщили представители BI.Zone.
Современные инфраструктуры становятся все более распределенными, многослойными и динамически изменяемыми: контейнеризация, оркестраторы, IaC, микросервисная архитектура, многочисленные политики и интеграции. Каждое звено этой сложной системы формирует новый, по умолчанию небезопасный интерфейс. Достаточно одной нестрогой политики доступа, одного эндпоинта без аутентификации или одной устаревшей зависимости в цепочке, чтобы упростить атакующему обход существующих механизмов защиты.
Динамика роста уязвимостей в 2025 году
По данным BI.Zone, в 2025 г. было опубликовано более 48 тыс. уязвимостей. Устойчивый рост их количества составил около 18% по сравнению с предыдущим годом. Среди них, по данным BI.Zone WAF, около 18 тыс. — уязвимости для веб-приложений, из которых 6% получили статус critical, а 29% — high.
При этом атакующие, как правило, используют простые и быстро реализуемые сценарии: свежие RCE-уязвимости, открытые сервисы и ошибки конфигурации.
Одни из ключевых трендов
Удаленное выполнение кода через инъекции (injection-based RCE). Уязвимости, вызванные недостаточной валидацией входных данных (SQL-инъекции, инъекции команд ОС, Lua-кода, NetBIOS), позволяют внедрять и выполнять вредоносный код. Часто они затрагивают веб-интерфейсы, API и сетевые протоколы и приводят к компрометации серверов, обходя аутентификацию либо используя минимальные привилегии.
Неаутентифицированное удаленное выполнение кода. Атаки без аутентификации, эксплуатирующие открытые эндпоинты, уязвимости десериализации объектов или поддельную полезную нагрузку (лицензии, запросы).
Эскалация привилегий (privilege escalation). Уязвимости, позволяющие повысить права доступа (до System/root) в рамках локальных или удаленных атак, включая NTLM-relay, атаки с использованием symlink и конфигурационные ошибки. Затрагивают операционные системы, виртуализацию и прикладные сервисы.
Обход аутентификации и контроля доступа (auth bypass & access control). Эксплуатация ошибок в механизмах аутентификации, управления сессиями и контроле доступа, включая path traversal, подмену cookie и кражу сессий. Такие уязвимости приводят к несанкционированному доступу и в ряде случаев к RCE.
Мисконфигурации как вектор атаки
Специалисты BI.Zone TDR проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. хостов — серверов и рабочих станций. В 2025 г. мисконфигурации (небезопасные настройки системы) стали простым и надежным для атакующего вектором: они не требуют сложного эксплоита, а позволяют атакующему сразу получить привилегии, горизонтально перемещаться или закрепиться в инфраструктуре. По данным BI.Zone TDR, в среднем на один хост приходится две–три мисконфигурации разной критичности.
Слабая парольная политика
На 47% хостов Microsoft разрешено создание и вход в систему с использованием учетной записи Microsoft. Такая конфигурация позволяет пользователям аутентифицироваться с помощью личных облачных учетных записей, минуя корпоративные механизмы контроля доступа. Применение учетных записей Microsoft повышает риски кибербезопасности, поскольку для них зачастую действуют менее строгие политики защиты по сравнению с доменными учетными записями. Кроме того, эти учетные записи связаны с внешними онлайн-сервисами, что увеличивает вероятность их компрометации в результате фишинговых атак. Получив сведения об адресах электронной почты и о пользовательских предпочтениях, злоумышленники могут повысить эффективность целевых атак и последующего доступа к корпоративной инфраструктуре.
Примерно на каждом сотом локальном компьютере Linux используются слабые пароли пользовательских учетных записей. В ряде случаев выявленные пароли входят в список 500 наиболее распространенных и легко подбираемых значений. Использование слабых паролей существенно облегчает подбор учетных данных и может способствовать быстрому распространению вредоносного ПО, а также развитию атак внутри корпоративной сети.
На 29% хостов Linux разрешен вход по SSH с использованием парольной аутентификации. Применение паролей для удаленного доступа повышает риск компрометации систем в результате перебора учетных данных и атак с использованием утекших паролей. Отказ от парольной аутентификации в пользу аутентификации по ключам позволяет существенно повысить уровень защищенности и снизить вероятность несанкционированного доступа.
Ошибки контроля доступа
На 5% хостов для сервисных учетных записей или групп настроены небезопасные правила sudo. Подобная конфигурация может быть использована злоумышленником для повышения привилегий и выполнения произвольных команд в системе.
На 8% хостов разрешен вход по SSH под учетной записью root с использованием пароля. Использование прямого входа под root снижает уровень контроля и затрудняет расследование инцидентов кибербезопасности, поскольку не позволяет однозначно идентифицировать действия конкретного администратора.
Устаревшие версии ПО
Около 10% хостов эксплуатируют версии Windows, находящиеся вне поддержки производителя и не получающие обновления безопасности. Отсутствие регулярных патчей приводит к накоплению известных уязвимостей, упрощает эксплуатацию систем с использованием публично доступных эксплоитов и значительно повышает риск компрометации корпоративной инфраструктуры.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.Zone: «В целом анализ данных BI.Zone TDR показывает, что неверные конфигурации присутствуют на заметной доле корпоративных хостов и кластеров. Это касается как слабых или стандартных паролей, так и мисконфигураций в инфраструктурах Active Directory, Kubernetes, а также на конечных системах Linux, macOS и Windows. Исправление мисконфигураций и управление уязвимостями — два взаимосвязанных направления, формирующих фундамент инфраструктурной устойчивости. В отличие от известных программных уязвимостей с CVE-номерами, мисконфигурации часто остаются незамеченными в автоматических отчетах, однако последствия их эксплуатации могут быть столь же критичны. Современный подход требует рассматривать оба класса проблем как единую поверхность риска, подлежащую комплексному управлению».
Поделиться
