Компания «Информзащита» представила аналитический отчет по уязвимостям различного класса, выявленным в течение 2015 года. Подавляющее количество уязвимостей было выявлено в финансовом секторе (67%), почти в 3 раза меньше — в ритейле (21%), чуть меньше — в госсекторе и телекоме (8% и 4% соответственно).
«Выполненные проверки позволили выявить множество слабых мест в информационных системах заказчиков, но при этом позволили своевременно устранить выявленные уязвимости. При этом 29% клиентов подвергались целенаправленным атакам при помощи средств социальной инженерии, что говорит о неизменно низком уровне осведомленности бизнес-пользователей в области ИБ», — прокомментировал Александр Гореликов, руководитель отдела анализа защищенности компании «Информзащита».
Наиболее распространенной уязвимостью является Cross-Site Scripting (межсайтовый скриптинг), позволяющая совершать атаки на пользователей приложений. Данный тип был выявлен у 25% клиентов. Второй по популярности стала уязвимость Security Misconfiguration, небезопасная конфигурация веб-приложения или его окружения, которая была обнаружена более чем у 20% клиентов.
По сравнению с предыдущим годом, в топ также попали две новые уязвимости: Sensitive Data Exposure — хранение и передача «критичных данных» в открытом виде, и Injection – возможность внедрения вредоносного подзапроса в легитимный запрос к серверу с последующим чтением/модификацией данных, вплоть до компрометации сервера.
Тенденция прошлого года сохранилась — уязвимости практически не изменились, однако их распространенность к атаке STP Claiming Root Role возросла почти в три раза и была выявлена у 59% клиентов. В свою очередь, распространенность уязвимостей к атаке ARP Cache Poisoning, позволяющая внутреннему нарушителю реализовать атаку Man-In-The-Middle, возросла на 6% и встречалась в этом году в более чем в 66% случаях.
Среди уязвимостей приложений лидерами являются «Использование учетных записей по умолчанию» и «SNMP-community строки по умолчанию», выявленные у 50% клиентов.
На втором месте по распространенности (46%) — уязвимости протокола SSLv3 (Poodle) и криптографического пакета OpenSSL (MS14-066). Последняя более известна как Winshock, и в прошлом году встречалась гораздо реже.