«Солар»: слабые пароли и их повторное использование — «слабое звено» в ИТ-системах российских компаний
Изображение: Yura Fresh (unsplash)
По данным экспертов компании по анализу защищенности DSEC (входит в группу компаний «Солар»), основными недостатками ИТ-систем российских компаний в 2025 году стали слабые пароли, неправильные настройки контролей доступа и устаревшие программы. При этом в 73% случаев во внутренних сетях компаний сотрудники использовали пароли по умолчанию или использовали один и тот же пароль к разным учетным записям — это позволило хакерам не только получить доступ к различным внутренним системам и сервисам, но и скомпрометировать всю внутреннюю инфраструктуру. Такие выводы следуют из отчета «Ключевые уязвимости информационных систем российских компаний в 2025 году».
В отчете содержится аналитика по 390 проектам анализа защищенности и тестирования на проникновение, проведенным в российских компаниях с января по декабрь 2025 года. Среди заказчиков пентеста — ИТ-компании, организации из финансового сектора, промышленности и производства, ритейла и других отраслей. Среди них 53% — это коммерческие структуры, а 47% — госсектор. Для анализа и повышения уровня защищенности от киберугроз специалисты DSEC моделировали кибератаки на внешнем (14% от всех проектов) и внутреннем периметрах (20%) ИТ-систем организаций. Также эксперты проверили на наличие уязвимостей веб-приложения (45%), корпоративные Wi-Fi-сети, центры сертификации и десктоп-приложения (21%).
Так, по итогам всех проектов по анализу защищенности специалисты выявили в организациях 5,3 тыс. уязвимостей различного уровня критичности.
Внешний пентест
Анализ показал, что в 78% проектов по внешнему тестированию (моделированию кибератак на внешний ИТ-периметр компаний) хакер мог бы использовать уязвимости и недостатки для проникновения во внутреннюю сеть компании, скомпрометировать хосты внешнего периметра и/или получить доступ к чувствительным данным и критическим системам.
В 33% случаев главной уязвимостью оказались неправильные настройки контроля доступа, еще в 28% — устаревшие версии ПО. Также среди серьезных недостатков — внедрение вредоносного SQL-кода (20%), слабые и словарные пароли (20%) и выполнение вредоносного произвольного кода (13%).
По мнению экспертов DSEC, все эти уязвимости несут серьезную угрозу для безопасности компаний — к примеру, внедрение SQL-кода может привести к краже информации из баз данных, компрометации учетных записей, выполнению различных команд на сервере и т. д.
Внутренний пентест
В 87% проектов по внутреннему пентесту (моделированию атак из локальной сети заказчика на внутренний периметр компании для получения доступа к конфиденциальной информации) эксперты смогли, к примеру, получить контроль над доменом, доступ к различным базам данных и сервисам или прочим критичным объектам компании. При этом в среднем злоумышленник в одной компании имел как минимум два вектора получения контроля доступа над доменом.
Главными проблемами внутренних периметров российских компаний в 2025 году были слабые пароли или пароли по умолчанию (53% проектов), ПО с известными уязвимостями (42%), неправильные настройки контроля доступа к ИТ-системам (37%), уязвимые центры сертификации (22%) и повторное использование паролей (20%). Последнее говорит о том, что злоумышленник, скомпрометировавший одну учетную запись или один домен, мог бы получить доступ сразу к множеству внутренних систем и сервисов.
Уязвимости в приложениях и Wi—Fi-сетях
Эксперты DSEC изучили на предмет уязвимостей различные приложения. Анализ проектов по пентесту показал, что в 47% веб-приложений обнаружена хотя бы одна уязвимость высокого уровня критичности. Среди них чаще встречались недостатки, связанные с некорректной реализацией контроля доступа (46%) и с внедрением SQL-кода в запросы к базе данных (14%).
Специалисты также изучили исходный код веб-приложений. Так, в 42% изученных случаев он тоже содержал уязвимости, которые в руках хакеров могли бы нанести ущерб ИТ-активам компании. К примеру, в одном из случаев найденная уязвимость позволила бы злоумышленникам получить доступ к личной информации пользователей, включая паспортные данные и номера телефонов.
Помимо этого, были проанализированы десктоп-приложения — те, что устанавливаются через специальные установщики и для их работы не требуется подключения к интернету. В 50% из них была обнаружена хотя бы одна уязвимость.
Под анализ попали и корпоративные Wi-Fi-сети. Так, в 43% случаев уязвимости Wi-Fi-сетей и отсутствие корректных сетевых разграничений позволили бы хакерам получить доступ во внутреннюю сеть компании.
В дополнение специалисты DSEC провели симуляцию фишинговых рассылок, чтобы вычислить вероятность реализации кибератак из-за человеческого фактора. Так, в 100% случаев хотя бы один сотрудник перешел по вредоносной ссылке, а еще в 86% случаев сотрудники ввели свои учетные данные на фейковом сайте или запустили вредоносное ПО. Это дополнительно говорит о необходимости повышения уровня киберграмотности персонала.
Для повышения уровня защищенности российских компаний от киберугроз эксперты DSEC рекомендуют:
- Анализировать приложения на наличие уязвимостей перед их выводом в продуктивное использование;
- Проводить регулярные внешние и внутренние тестирования на проникновение в инфраструктуру компаний;
- Использовать комплексный подход к защите информационной инфраструктуры, который включает в себя защиту Wi-Fi-сетей, десктоп-приложений и других объектов инфраструктуры, а также постоянное повышение уровня осведомленности персонала в вопросах ИБ.
С полным отчетом об анализе защищенности российских компаний можно ознакомиться на сайте «Солара».
