Журнал "Information Security/ Информационная безопасность" #2, 2025

ники эксплуатируют такие недостатки, применяя методы подбора паролей или используя заранее скомпрометирован- ные списки учетных данных. Встроенные учетные записи, вроде Administrator, часто защищены паролями admin123 или password – это позволяет атакующим быстро получить доступ к системе. Пример 2. Нет обязательной аутентификации для доступа к базе данных Открытые базы данных без обяза- тельной аутентификации позволяют зло- умышленникам выгружать, изменять или удалять данные. Кроме того, атакующие могут использовать БД как отправную точку для входа в инфраструктуру, осо- бенно если в базе хранятся учетные данные или API-ключи. Проблема наиболее распространена в средах DevOps, где БД разворачиваются быстро (например, через Docker) с мини- мальными настройками безопасности, а также в устаревших системах, где кон- фигурации не пересматривались годами. Уязвимы, в частности, PostgreSQL, ClickHouse, MongoDB. Утечки из MongoDB, эксплуатация открытых ClickHouse-инстансов в аналитических кластерах и другие инциденты показы- вают, что такие небезопасные конфигу- рации остаются актуальной угрозой. Пример 3. В настройках ОС включен SMBv1 Одна из распространенных ошибок – использование устаревшего и небез- опасного протокола SMBv1, который часто остается активным на хостах, осо- бенно в устаревших системах. Он поз- воляет злоумышленникам компромети- ровать учетные записи и эксплуатиро- вать уязвимости этой версии протокола. Яркий пример – массовое заражение ВПО WannaCry, которое самораспро- странялось через уязвимость в SMBv1. Пример 4. Учетная запись "Гость" в локальной группе "Администраторы" Эта ошибка редкая, но опасная. В Windows учетная запись "Гость" (Guest) по умолчанию предназначена для ограниченного доступа, не требует паро- ля и отключена в большинстве совре- менных систем. Но из-за ручной настрой- ки, устаревших скриптов миграции или ошибок администрирования эта учетная запись может быть активирована и добавлена в группу "Администраторы" (Administrators). Воспользовавшись этим, злоумышленник может получить полный контроль над системой. Пример 5. Конфигурации ОС и ПО, при которых учетные данные хранятся в открытом виде Есть множество вариаций конфигура- ций ОС и ПО, которые напрямую влияют на способ хранения учетных данных. Например, использование Group Policy Preferences в старых версиях Active Direc- tory, где пароли для локальных учетных записей или служб могли храниться в XML-файлах (например, Groups.xml) в общих папках SYSVOL. С этими настройками злоумышленникам гораздо легче получить учетные данные для дальнейшего развития атаки. Пример 6. Небезопасная конфигурация CMS Системы управления контентом (Content Management System, CMS) часто исполь- зуются для публичного доступа извне. Критически важно контролировать и без- опасно настраивать публичные приложе- ния, поскольку именно с их помощью злоумышленники чаще всего получают первоначальный доступ в инфраструктуру. Например, одна из распространенных небезопасных конфигураций – незавер- шенная настройка продукта. Администра- торы часто не удаляют чувствительные артефакты (скрипты), которые остаются доступны извне. Это позволяет злоумыш- ленникам сбросить конфигурации систе- мы и настройки аутентификации. Сценариев, в которых злоумышленники используют небезопасные конфигурации, гораздо больше – это подчеркивает мас- штаб проблемы, а также важность контроля инфраструктуры. Решение BI.ZONE EDR, сервис BI.ZONE TDR и классический мони- торинг угроз позволяют осуществлять такой контроль, а также подсвечивают внутрен- ним службам безопасности потенциальные недостатки в конфигурациях для их исправ- ления и митигации рисков. l по статистике BI.ZONE TDR, на каждом пятидесятом устройстве в локальной сети есть хотя бы одна учетная запись с небезопасным паролем, а в Active Directory слабый пароль – в среднем у 5–7% учетных записей. по статистике BI.ZONE TDR, протокол все еще активен на 8% устройств, несмотря на рекомендации отключить его с октября 2017 года. по статистике BI.ZONE TDR, в каждой второй инфраструктуре есть проблема с настройками доступа к БД. по статистике BI.ZONE TDR, примерно в 30% современных инфраструктур встречаются конфигурации, влияющие на хранение учетных данных в открытом виде. по статистике BI.ZONE TDR, в 16% инфраструктур, где используются популярные CMS, встречаются небезопасные конфигурации. по статистике BI.ZONE TDR, в 5% инфраструктур учетная запись "гость" добавлена в группу "администраторы". • 23 Управление конфигУрациями www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы. ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjbvsXsT