Поделиться
Эксперты «Нейроинформ» выявили топовые уязвимости в ритейле в I квартале 2025 года
Эксперты компании «Нейроинформ», специализирующейся на анализе и оценке киберугроз, провели исследование уязвимостей в ритейле по итогам I квартала 2025 г. Специалисты обнаружили, что в I квартале 2025 г. количество уязвимостей в ритейле выросло на 28% по сравнению с аналогичным периодом прошлого года. Также аналитики компании выявили наиболее распространенные уязвимости в ритейле по итогам I квартала 2025 г.
По данным «Нейроинформ», в топ-3 самых распространенных уязвимостей в ритейле по итогам I квартала 2025 года вошли: нарушение контроля доступов к чувствительным данным и ресурсам (34% от числа всех выявленных уязвимостей), отсутствие блокировки при переборе паролей и пользователей в веб-приложениях (26%), а также отсутствие аутентификации на API-вызовах (21%). Кроме того, в рамках исследования специалисты «Нейроинформ» выявили много случаев нарушения бизнес-логики, а также неиспользование лучших практик в процессе управления компонентами инфраструктуры.
Нарушение контроля доступа к чувствительным данным и ресурсам является одной из наиболее критических уязвимостей в ритейле. Данная уязвимость ставит под угрозу всю инфраструктуру компании. Эксперты «Нейроинформ» на практике столкнулись с раскрытием информации о внутреннем домене и его IP-адресах в рекламных буклетах компании, с указанием используемых средств защиты в инструкциях по установке, учетными данными пользователей в метаданных изображений и JS-скриптах, учётными данными для доступа к SQL серверу и ключами для доступа к API в конфигурационных файлах, доступных из интернета. Несколько раз были обнаружены лог-файлы в открытом доступе, куда в реальном времени записываются все данные, введённые пользователями на сайте, включая логины и пароли. Подобные ресурсы и данные в большинстве случаев становятся для злоумышленников первым шагов для компрометации инфраструктуры компания и использования более таргетированных векторов атак.
Отсутствие блокировки при переборе паролей и пользователей в веб-приложениях уже долгое время попадает в число самых опасных уязвимостей в ритейле. Она позволяет злоумышленникам использовать автоматизированные средства и готовые словари учетных имен и паролей для беспрепятственного и длительного подбора аутентификационных данных пользователей и дальнейшего получения доступа к аккаунтам веб-приложений. Атака становится возможной из-за того, что пользователи создают короткие, простые и легко угадываемые пароли, а администраторы веб-ресурсов не делают обязательной использование двухфакторной аутентификации (2FA) и не включают средства защиты, которые улавливают изменения трафика и блокируют попытки злоумышленника. По опыту специалистов «Нейроинформ» эксплуатация данной уязвимости чаще всего приводит к проникновению в административную панель управления веб-сайтом с последующей компрометацией сервера и всей внутренней сети компании.
Отсутствие аутентификации на API-вызовах можно считать одной из новых уязвимостей в ритейл-сфере. В последнее время была выявлена интересная закономерность – сервисы многих ритейлеров строятся на API, у которой полностью отсутствует аутентификация. API предоставляет возможность запрашивать данные и выполнять действия без необходимости вводить логин/пароль на панели аутентификации, требуется лишь знать, что должно быть в запросе, и токен доступа. При наличии такого токена любой может запрашивать данные и выполнять действия на серверах компании. Данная ошибка конфигурации может иметь очень серьезные последствия для ритейлеров и часто равносильна полной компрометации веб-сервера и базы данных, не говоря уже о следующих за ними раскрытии персональных данных клиентов, широких возможностях фишинга и штрафах регулятора.
Уязвимости бизнес-логики часто не поддаются какой-либо систематизации, поскольку все сервисы и веб-приложения разные. Поэтому хакерам особенно интересно находить и эксплуатировать подобные недостатки. На практике эксперты «Нейроинформ» уже несколько раз выявили возможность обхода процесса регистрации, что позволило получить доступ к внутренним процессам аккаунта пользователя. Важно то, что система может ничего не знать о злоумышленнике, хотя он может оперировать внутри нее. Неиспользование лучших практик в процессе управления компонентами инфраструктуры тоже может создать большие проблемы для ритейлеров.
«Мы регулярно выявляем большое количество уязвимостей в различных компаниях, в том числе в ритейле. Мы рекомендуем компаниям проводить пентест своей инфраструктуры минимум раз в год. Лучше сломать самим, чем ждать пока это сделают другие», — отметил Александр Дмитриев, генеральный директор компании «Нейроинформ».
Поделиться
Короткая ссылка
