На этой неделе интернет-сообщество активно обсуждало скандальную атаку, предположительно организованную хакерами из России. Исследователи безопасности из Hold Security сообщили, что киберпреступники, находившиеся на территории России, Казахстана и Монголии, осуществили серию атак на 420 тысяч веб-ресурсов. Хотя точный список жертв неизвестен, сообщается, что среди них есть крупные компании из списка Fortune 500.
В ходе атаки злоумышленники получили доступ к более чем 1,2 млрд учетных записей.
Хакеры использовали взломанные учетные записи для рассылки спама. Однако есть вероятность, что они могут использовать эти данные для кражи личной информации пользователей и мошенничества с банковскими картами. Особенно уязвимы те пользователи, которые применяют одинаковые пароли на различных ресурсах, что может дать хакерам доступ к банковским счетам.
Эксперты Hold Security, выявившие факты взлома, рекомендуют компаниям проверить свои веб-ресурсы на наличие уязвимости типа «Внедрение операторов SQL» (SQL injection). Эта ошибка в разработке приложения позволяет хакерам получить контроль над уязвимым сервером и проникнуть во внутреннюю сеть организации для кражи конфиденциальных данных.
Подобные атаки могут быть обнаружены средствами предотвращения вторжений. Однако, если первый этап взлома (атака на приложение) остался незамеченным, дальнейшие действия злоумышленников выявить крайне сложно. В этом случае хакеры используют полученные права легитимного пользователя или приложения.
Согласно исследованию Positive Technologies, уязвимость «Внедрение операторов SQL» остаётся наиболее распространённым недостатком высокой степени риска. В 2013 году он встречался в 43% протестированных веб-приложений.
Особого внимания требует и другая серьёзная уязвимость — «Внедрение внешних сущностей XML». Её эксплуатация может привести к доступу к ресурсам внутренней сети, чтению файлов на сервере и отказу в обслуживании веб-приложения. В 2013 году эта уязвимость присутствовала в 20% систем. В целом 62% исследованных в 2013 году систем содержали уязвимости высокой степени риска, что значительно превышает показатель 2012 года (45%).
«Массовость атаки косвенно указывает на то, что уязвимости, вероятно, присутствуют в распространённых системах (например, CMS), — отмечает руководитель аналитической группы Positive Technologies Евгения Поцелуевская. — В таких случаях компании часто рассматривают приложение как чёрный ящик, полагаясь на вендоров, и не проводят анализ защищённости. Чтобы избежать подобных инцидентов, необходимо учитывать безопасность приложений независимо от разработчика, внедрять процессы безопасности при разработке, использовать статический и динамический анализ безопасности (SAST и DAST), а также применять средства защиты, такие как Web Application Firewall».
Эксперты Positive Technologies подчёркивают: эксплуатация уязвимости «Внедрение операторов SQL» — далеко не единственный распространённый способ атак. Поэтому важно регулярно проводить аудит безопасности информационных систем, а не только реагировать на сообщения о массовых атаках.
Пользователям настоятельно рекомендуется не использовать одинаковые пароли на разных ресурсах. В первую очередь следует сменить пароли от основной электронной почты и кошельков. Это особенно актуально, если такие же пароли применялись на небольших веб-сайтах и форумах с низким уровнем защиты.
В ходе атаки злоумышленники получили доступ к более чем 1,2 млрд учетных записей.
Хакеры использовали взломанные учетные записи для рассылки спама. Однако есть вероятность, что они могут использовать эти данные для кражи личной информации пользователей и мошенничества с банковскими картами. Особенно уязвимы те пользователи, которые применяют одинаковые пароли на различных ресурсах, что может дать хакерам доступ к банковским счетам.
Как защититься
Эксперты Hold Security, выявившие факты взлома, рекомендуют компаниям проверить свои веб-ресурсы на наличие уязвимости типа «Внедрение операторов SQL» (SQL injection). Эта ошибка в разработке приложения позволяет хакерам получить контроль над уязвимым сервером и проникнуть во внутреннюю сеть организации для кражи конфиденциальных данных.
Подобные атаки могут быть обнаружены средствами предотвращения вторжений. Однако, если первый этап взлома (атака на приложение) остался незамеченным, дальнейшие действия злоумышленников выявить крайне сложно. В этом случае хакеры используют полученные права легитимного пользователя или приложения.
Согласно исследованию Positive Technologies, уязвимость «Внедрение операторов SQL» остаётся наиболее распространённым недостатком высокой степени риска. В 2013 году он встречался в 43% протестированных веб-приложений.
Особого внимания требует и другая серьёзная уязвимость — «Внедрение внешних сущностей XML». Её эксплуатация может привести к доступу к ресурсам внутренней сети, чтению файлов на сервере и отказу в обслуживании веб-приложения. В 2013 году эта уязвимость присутствовала в 20% систем. В целом 62% исследованных в 2013 году систем содержали уязвимости высокой степени риска, что значительно превышает показатель 2012 года (45%).
«Массовость атаки косвенно указывает на то, что уязвимости, вероятно, присутствуют в распространённых системах (например, CMS), — отмечает руководитель аналитической группы Positive Technologies Евгения Поцелуевская. — В таких случаях компании часто рассматривают приложение как чёрный ящик, полагаясь на вендоров, и не проводят анализ защищённости. Чтобы избежать подобных инцидентов, необходимо учитывать безопасность приложений независимо от разработчика, внедрять процессы безопасности при разработке, использовать статический и динамический анализ безопасности (SAST и DAST), а также применять средства защиты, такие как Web Application Firewall».
Эксперты Positive Technologies подчёркивают: эксплуатация уязвимости «Внедрение операторов SQL» — далеко не единственный распространённый способ атак. Поэтому важно регулярно проводить аудит безопасности информационных систем, а не только реагировать на сообщения о массовых атаках.
Пользователям настоятельно рекомендуется не использовать одинаковые пароли на разных ресурсах. В первую очередь следует сменить пароли от основной электронной почты и кошельков. Это особенно актуально, если такие же пароли применялись на небольших веб-сайтах и форумах с низким уровнем защиты.
Последнее редактирование модератором:
