В течение последнего года Vonahi Security провела более 10 000 автоматизированных тестов внутренней сети, выявив десять критических уязвимостей, которые зачастую остаются незамеченными даже опытными специалистами. Многие организации уверены, что правильно настроенные фаерволы, решения для защиты конечных точек и SIEM-системы обеспечивают достаточную безопасность, однако реальные тесты демонстрируют обратное.
Анализ показывает, что 50% обнаруженных проблем связаны с ошибками настройки, 30% обусловлены отсутствием патчей, а 20% – с недостаточной защитой паролей. Эти данные свидетельствуют о том, что угрозу представляют не сложные zero-day эксплойты, а банальные упущения в конфигурации и администрировании.
Сервер Redis, используемый для кэширования и обработки данных в реальном времени, по умолчанию не требует аутентификации (CVSS3: 9.9; встречаемость – 1.3%). Такой подход позволяет злоумышленникам получать доступ к чувствительной информации и повышать привилегии в системе. Рекомендуется настроить Redis таким образом, чтобы требовались надежные пароли, соответствующие корпоративным требованиям, а также использовать менеджеры паролей для генерации сложных комбинаций.
Серверы Firebird часто остаются с заводскими учетными данными (CVSS3: 9.0; встречаемость – 1.4%), что открывает злоумышленникам возможность для разведки, перечисления файлов и даже выполнения системных команд. Применение инструмента GSEC для изменения дефолтных паролей, регулярный аудит учетных данных и мониторинг логов доступа существенно уменьшат риск несанкционированного вмешательства.
Уязвимости удаленного выполнения кода в Microsoft Windows, такие как BlueKeep (CVE-2019-0708, CVSS3: 9.8; встречаемость – 4.4%) и EternalBlue (CVSS3: 9.8; встречаемость – 4.5%), позволяют злоумышленникам получить полный контроль над системой, извлекать пароли и осуществлять боковое перемещение по сети. Немедленное применение обновлений и пересмотр процессов управления патчами являются необходимыми мерами для защиты критической инфраструктуры.
Недостаточная защита IPMI (CVSS3: 10.0; встречаемость – 15.7%) даёт возможность обойти механизм аутентификации, позволяя извлекать хэши паролей и получать несанкционированный доступ к службам, таким как SSH, Telnet и веб-интерфейсы. Кроме того, 24.9% систем работают на устаревших версиях Microsoft Windows, что повышает риск утечки данных из-за отсутствия критических обновлений. Замена таких систем и использование современных версий ОС – важные этапы повышения безопасности.
Особое внимание следует уделить атакам, связанным с разрешением имен в сети. IPv6 DNS спуфинг (CVSS3: 10.0; встречаемость – 49.9%) позволяет злоумышленникам перенаправлять DNS-запросы через внедрение ложного DHCPv6-сервера, а протоколы LLMNR (CVSS3: 9.8; встречаемость – 65.5%) и NBNS (CVSS3: 9.8; встречаемость – 73.3%) открывают возможность перехвата как plaintext, так и хэшированных учетных данных. Отключение данных сервисов посредством групповых политик, изменения настроек на сетевых адаптерах или модификации реестра существенно снизит риск подобных атак.
Наиболее распространенной стала уязвимость, связанная с Multicast DNS (mDNS) спуфингом, зарегистрированная в 78.2% случаев. В условиях, когда mDNS используется для резервного разрешения имен при отсутствии выделенного DNS-сервера, злоумышленники могут подменять ответы на широковещательные запросы, что приводит к утечке критичных данных. Рекомендации включают полное отключение mDNS, блокирование порта UDP 5353 через брандмауэр или, при невозможности полного отключения, сегментацию сети и усиление политики сложности паролей.
Автоматизированное пентестирование подтверждает, что основная угроза сетевой безопасности исходит от элементарных ошибок конфигурации, отсутствия своевременных обновлений и слабой защиты паролей, а не от сложных и экзотических методов атак. Решения vPenTest от Vonahi Security демонстрируют эффективность непрерывного тестирования, позволяя оперативно выявлять и устранять уязвимости до того, как они будут использованы злоумышленниками.
Изображение носит иллюстративный характер
Анализ показывает, что 50% обнаруженных проблем связаны с ошибками настройки, 30% обусловлены отсутствием патчей, а 20% – с недостаточной защитой паролей. Эти данные свидетельствуют о том, что угрозу представляют не сложные zero-day эксплойты, а банальные упущения в конфигурации и администрировании.
Сервер Redis, используемый для кэширования и обработки данных в реальном времени, по умолчанию не требует аутентификации (CVSS3: 9.9; встречаемость – 1.3%). Такой подход позволяет злоумышленникам получать доступ к чувствительной информации и повышать привилегии в системе. Рекомендуется настроить Redis таким образом, чтобы требовались надежные пароли, соответствующие корпоративным требованиям, а также использовать менеджеры паролей для генерации сложных комбинаций.
Серверы Firebird часто остаются с заводскими учетными данными (CVSS3: 9.0; встречаемость – 1.4%), что открывает злоумышленникам возможность для разведки, перечисления файлов и даже выполнения системных команд. Применение инструмента GSEC для изменения дефолтных паролей, регулярный аудит учетных данных и мониторинг логов доступа существенно уменьшат риск несанкционированного вмешательства.
Уязвимости удаленного выполнения кода в Microsoft Windows, такие как BlueKeep (CVE-2019-0708, CVSS3: 9.8; встречаемость – 4.4%) и EternalBlue (CVSS3: 9.8; встречаемость – 4.5%), позволяют злоумышленникам получить полный контроль над системой, извлекать пароли и осуществлять боковое перемещение по сети. Немедленное применение обновлений и пересмотр процессов управления патчами являются необходимыми мерами для защиты критической инфраструктуры.
Недостаточная защита IPMI (CVSS3: 10.0; встречаемость – 15.7%) даёт возможность обойти механизм аутентификации, позволяя извлекать хэши паролей и получать несанкционированный доступ к службам, таким как SSH, Telnet и веб-интерфейсы. Кроме того, 24.9% систем работают на устаревших версиях Microsoft Windows, что повышает риск утечки данных из-за отсутствия критических обновлений. Замена таких систем и использование современных версий ОС – важные этапы повышения безопасности.
Особое внимание следует уделить атакам, связанным с разрешением имен в сети. IPv6 DNS спуфинг (CVSS3: 10.0; встречаемость – 49.9%) позволяет злоумышленникам перенаправлять DNS-запросы через внедрение ложного DHCPv6-сервера, а протоколы LLMNR (CVSS3: 9.8; встречаемость – 65.5%) и NBNS (CVSS3: 9.8; встречаемость – 73.3%) открывают возможность перехвата как plaintext, так и хэшированных учетных данных. Отключение данных сервисов посредством групповых политик, изменения настроек на сетевых адаптерах или модификации реестра существенно снизит риск подобных атак.
Наиболее распространенной стала уязвимость, связанная с Multicast DNS (mDNS) спуфингом, зарегистрированная в 78.2% случаев. В условиях, когда mDNS используется для резервного разрешения имен при отсутствии выделенного DNS-сервера, злоумышленники могут подменять ответы на широковещательные запросы, что приводит к утечке критичных данных. Рекомендации включают полное отключение mDNS, блокирование порта UDP 5353 через брандмауэр или, при невозможности полного отключения, сегментацию сети и усиление политики сложности паролей.
Автоматизированное пентестирование подтверждает, что основная угроза сетевой безопасности исходит от элементарных ошибок конфигурации, отсутствия своевременных обновлений и слабой защиты паролей, а не от сложных и экзотических методов атак. Решения vPenTest от Vonahi Security демонстрируют эффективность непрерывного тестирования, позволяя оперативно выявлять и устранять уязвимости до того, как они будут использованы злоумышленниками.
