Удаленное исполнение кода (RCE) - самая серьезная и распространенная угроза для веб-приложений. Согласно данным сервиса для защиты веб-приложений BI.ZONE WAF, нет ни одной отрасли, в какой на RCE-атаки приходилось бы меньше пятой части всех вредоносных веб-запросов.
По достоверным сведениям исследования Threat Zone 2024, один из основных методов получения первоначального доступа в инфраструктуру - взлом публично доступных приложений. Профессионалы BI.ZONE WAF проанализировали веб-атаки, нацеленные на компрометацию публично доступных приложений, за первую половину 2024 года и выяснили, что почти три четверти атак были нацелены на CMS-, CRM- и вики-системы, такими как «Битрикс», WordPress и Confluence.
Количество атак на перечисленные веб-приложения эксперты связывают с комбинацией нескольких факторов. Во-первых, эти приложения крайне распространены в компаниях всех отраслей и размеров. Во-вторых, они неоднократно обновляются и дополняются сторонними модулями. Это приводит к тому, что внутри них регулярно обретают новые уязвимости, которые могут эксплуатировать злоумышленники. В-третьих, эти приложения обычно доступны из интернета, но не только из инфраструктуры компании: сайты - для выполнения своей задачи, CRM- и вики-системы - для большего комфорта.
Эксперты выявили топ-3 веб-угроз, которые пытаются реализовать злоумышленники: RCE - 42% от общего трафика веб-атак; атаки, направленные на получение доступа к файлам конфигурации, баз данных и пр. (обход пути), - 16%; кража пользовательских данных (межсайтовый скриптинг, расщепление HTTP-запроса, загрязнение прототипа и пр.) - 15%.
Отраслевой анализ показывает, что RCE возглавляет топ веб-угроз для многих секторов экономики и ни в одном случае доля этой угрозы не спускается ниже 21%.
Доля RCE-атак становится все более заметной с 2020-х годов. Если, предположим, в 2010-х преступники зарабатывали на скомпрометированных веб-приложениях, продавая доступ к ним на теневых форумах, то сейчас нападающие не должны вести счет на долгое пребывание на веб-сервере из-за частых обновлений и наличия защитных средств на окончательных серверах. Поэтому им эффективнее использовать знаменитые уязвимости для RCE-атак, которые дают скорый результат и позволяют получить удаленный доступ, не закрепляясь на конечном сервере веб-приложения.
Фото: Unsplash.com