BI.Zone: две трети хостов уязвимы для кибератак из-за неправильных настроек
Специалисты BI.Zone EDR проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. хостов — серверов и рабочих станций. 66% исследованных хостов имеют как минимум одну опасную мисконфигурацию, то есть ошибку в настройке программ или доступа.
На 65% хостов с операционной системой macOS отсутствует настроенная парольная политика. Вместо нее применяется политика по умолчанию, которая подразумевает использование паролей длиной всего лишь 4 символа. Такие пароли ненадежны: чтобы обеспечивать безопасность, пароль должен включать не менее 8, а лучше 10–12 символов.
61% Linux-хостов не имеет установленного пароля для загрузчика операционной системы GRUB. Такая ошибка дает злоумышленнику возможность запустить однопользовательский режим, чтобы сбросить пароли системных учетных записей и таким образом получить контроль над системой.
Почти у трети Windows-хостов (29%) отключено управление паролями локальных администраторов (LAPS). Этот инструмент позволяет генерировать уникальный и надежный пароль администратора для каждого компьютера домена. Пароль автоматически меняется через определенный период времени, а его значение хранится в защищенном пространстве. Отключение этой функции повышает риск того, что злоумышленники скомпрометируют учетную запись локального администратора, а затем используют ее статический пароль для захвата других устройств в сети.
Демьян Соколин, руководитель направления развития BI.Zone EDR, сказал: «Вопреки распространенному стереотипу, слабый пароль не самая частая ошибка: они встречаются у 1% локальных пользователей на Windows и у 5% — на Linux. При этом такая мисконфигурация — одна из самых опасных: компрометация даже одного хоста с помощью подобранного пароля может облегчить распространение ВПО или продвижение злоумышленника по корпоративной инфраструктуре вплоть до установления полного контроля над ней. По данным BI.Zone, 35% высококритичных киберинцидентов, произошедших в российских организациях с начала 2024 г., были связаны именно с небезопасной парольной политикой для административных учетных записей».
Зачастую системные администраторы сами отключают защитные функции на устройствах, поскольку считают, что таким образом могут повысить производительность системы и упростить себе работу.
Так, на 37% исследованных Windows-хостов была отключена защита LSA. Эта мисконфигурация позволяет злоумышленникам получить доступ к учетным данным, хранящимся в памяти процессов.
Еще в 36% случаев на Windows-хостах не настроена подпись SMB-пакетов, отвечающих за удаленный доступ к файлам, устройствам и другим сетевым ресурсам. В случае атаки киберпреступники могут перехватить неподписанные SMB-пакеты, модифицировать их и отправлять таким образом команды на целевой сервер, фактически получая контроль над системой. Также на 4% Windows-хостов используется устаревший протокол SMBv1. Он содержит ряд уязвимостей, которые могут быть проэксплуатированы злоумышленниками для получения полного доступа к интересующим их системам.
Кроме того, на 13% Windows-хостов было отключено обновление компонентов операционной системы. Использование устаревших версий программ представляет угрозу, поскольку в них регулярно выявляют уязвимости, которые могут быть исправлены только с помощью обновлений.
Для безопасного доступа с рабочего устройства к удаленным системам на macOS и Linux используется протокол SSH. Наиболее безопасной в рамках этого протокола считается аутентификация по специально сгенерированному ключу. Однако на каждом четвертом устройстве аутентификация по ключу отключена, а вместо нее разрешен вход по SSH с аутентификацией по паролю.
Такие хосты часто бывают доступны через интернет, что повышает их уязвимость. В совокупности с нарушениями парольной политики это увеличивает вероятность успешных брутфорс-атак, то есть атак с помощью перебора паролей. Чтобы минимизировать этот риск, рекомендуется применять SSH-аутентификацию по ключу.