Пентест для бизнеса: восемь компаний из десяти уязвимы
Внешний контур: бреши на границе корпоративной сети
Внешнее тестирование на проникновение имитирует действия хакера из интернета. По данным DSEC по итогам 2025 года, в 78% проектов экспертам удалось проникнуть во внутреннюю сеть, DMZ или скомпрометировать узлы внешнего периметра. Уровень защиты на границе сети у 70% исследованных компаний оценивается как «средний» или ниже. То есть, в 7 из 10 компаний были выявлены недостатки, которые могли привести к ущербу для информационных активов.
Аналитика DSEC by Solar основана на результатах 390 проверок защищённости и тестирований на проникновение, проведённых с января по декабрь 2025 года для российских компаний из разных регионов и отраслей. В выборку вошли организации из государственного сектора, ИТ, финансов, промышленности, ритейла и других сфер. По итогам этих работ специалисты DSEC выявили 5300 уязвимостей различной степени критичности, а также зафиксировали наиболее распространённые угрозы и векторы проникновения в корпоративные сети.
Впрочем, даже при высокой оценке защищённости внешний периметр может оставаться уязвимым для отдельных видов атак. Например, с использованием украденных учетных данных, ранее неизвестной уязвимости, ошибки конфигурации или сложной цепочки из нескольких менее критичных брешей. При этом высокая оценка защиты периметра означает, что эксплуатация выявленных уязвимостей и получение доступа к критически важным системам требуют от злоумышленника значительных усилий и высокой квалификации.
Успешные векторы атак часто (27% случаев) начинаются с эксплуатации известных брешей в давно не обновляемых продуктах. Среди уязвимого ПО на внешнем периметре встречались Bitrix, Kibana, Liferay и др. В некоторых случаях границу корпоративной сети удавалось преодолеть за один шаг — через эксплуатацию известной уязвимости. Так, в одном из рассмотренных исследователями кейсов устаревшая версия Bitrix позволила выполнить произвольный код на внешнем хосте и получить доступ во внутреннюю сеть.
В 20% случаев успешные атаки начинались с уязвимостей в административных интерфейсах. Например, доступ к системе отчётов позволил загрузить шаблон с полезной нагрузкой, выполнить произвольный код и получить доступ во внутреннюю сеть.
Однако сложный технический взлом требуется далеко не всегда. Значительную угрозу по-прежнему представляют базовые ошибки администрирования. Например, уязвимости, связанные со слабыми паролями выявлены в 20% проектов, а в 13% случаев они стали началом успешного вектора атаки.
ИБ-практика: как один пароль скомпрометировал бухгалтерию
В ходе одного из предыдущих тестирований специалисты Solar ЈSОСГК «Солар» начали атаку с поиска реальных учетных записей сотрудников, используя метод Time-Based Attack через почтовые сервисы, включая Exchange. Из-за недостатков конфигурации почтовый сервер отвечал на запросы с разной скоростью: если логин не существовал, время ответа увеличивалось. Это позволило экспертам собрать базу существующих аккаунтов.
Следующим шагом стал подбор паролей. Эксперты использовали популярные словарные комбинации и пробовали по 2–3 варианта в час на каждого пользователя, чтобы избежать срабатывания систем блокировки. В результате к одному из аккаунтов подошёл пароль «Ltrf,hm, 2024» — русское словосочетание «Декабрь, 2024», набранное в английской раскладке. Формально он соответствует всем требованиям сложности: есть заглавные буквы, цифры и даже запятая, тем не менее подобные комбинации легко подбираются.
Через эту первую взломанную учетную запись атакующие получили доступ к адресной книге Exchange и выгрузили полный список всех сотрудников компании. Затем эксперты провели атаку Password Spraying: они взяли уже сработавший пароль «Ltrf,hm, 2024» и применили его ко множеству других учеток из нового списка.
В итоге этот же пароль подошел к учетной записи бухгалтера. Через неё «злоумышленники» проникли в облачный сервис 1С, получили доступ к чувствительным данным пользователей и бухгалтерской документации, а также к видео-конференц-связи и текущим звонкам. Кейс показывает, что для доступа к критичным данным хакерам иногда даже не требуется проникать глубоко во внутреннюю сеть.
Внутренняя инфраструктура: ошибки помогают захватить домен
Преодолев внешний периметр или действуя непосредственно изнутри (например, в случае инсайдерской угрозы или взлома Wi-Fi), злоумышленники получают широкие возможности для развития атаки. Исследование по итогам 2025 года показывает, что внутренние сети часто защищены слабо: в 87% проектов пентестерам удалось достичь поставленных целей, среди которых — полный контроль над доменом, доступ к персональным данным, базам данных и системам резервного копирования. Более 80% исследованных инфраструктур получили оценку защищенности не выше «средней».
Как и в случае с внешним периметром, хакеры редко ограничены единственным путем проникновения. В одном из проектов эксперты обнаружили девять различных векторов, позволяющих получить контроль над доменом администратора. При этом минимальное время для полного захвата домена в ходе внутренних тестов составило лишь два часа. В среднем в пентестах с успешной реализацией контроля обнаруживается два вектора.
Последствия таких атак могут быть критичны для бизнеса. В одном из проектов захват домена позволил проверяющим добраться до систем управления промышленными процессами и их мониторинга, что создало реальный риск остановки программируемых логических контроллеров и физического нарушения работы предприятия.
Впрочем, иногда хакерам даже не требуются права администратора домена. В одном из тестирований экспертам удалось выполнить произвольный код на множестве внутренних хостов и напрямую получить доступ к критичным базам данных и системам вроде Grafana, Apache Hadoop и Kafka.
Исследователи отмечают, что частыми точками входа для успешных атак на Active Directory становились уязвимости в инфраструктурных системах: центрах сертификации, Veeam и SCCM. В 27% случаев именно их эксплуатация запускала успешный вектор получения контроля над доменом.
В некоторых случаях использование одинаковых учетных данных помогало скомпрометировать сразу несколько доменов с помощью одного вектора атаки.
Успешные пути преодоления внешнего периметра и получения доступа во внутреннюю сеть могут начинаться не только с уже отмеченных уязвимостей. Иногда точка входа во внутреннюю сеть может находиться буквально на улице. Аналитика DSEC показывает, что в 43% случаев уязвимости Wi-Fi-сетей и отсутствие корректных сетевых разграничений позволяют злоумышленникам получить доступ во внутреннюю сеть и реализовать векторы компрометации домена.
ИБ-практика: в ЦОД через Wi-Fi
В ходе выездного тестирования на территории заказчика эксперты Solar ЈSОС ГК «Солар» обратили внимание, что сигнал корпоративной Wi-Fi сети стабильно ловится за пределами здания. Выйдя на улицу, команда легко перехватила хеш пароля от сети. Пароль оказался простым и был оперативно взломан, что сразу дало доступ во внутреннюю сеть компании.
В сети обнаружили МФУ (принтер-сканер), подключенное к домену. На устройстве сохранились стандартные учетные данные — классическая связка admin/admin. С их помощью специалисты извлекли доменную учетную запись с расширенными правами, что позволило изучить структуру сети и пользователей.
Далее команда проникла в систему контроля и управления доступом (СКУД). Используя полученные права администратора, эксперты авторизовались в системе и выгрузили базу данных всех сотрудников предприятия. Финальным этапом стала физическая проверка: с помощью портативного устройства Flipper Zero специалисты записали данные реального пользователя на RFID-карту. С получившимся поддельным пропуском проверяющие беспрепятственно миновали пост охраны — система штатно пропустила «сотрудника».
Веб-приложения и люди: цена уязвимой бизнес-логики
Высокие скорости современной разработки, массовое использование CMS, фреймворков и ИИ-инструментов упрощают создание корпоративных сервисов, но одновременно повышают риск внедрения уязвимостей. Особенно если код не проходит независимую ИБ-проверку. Аналитика 2025 года показывает, что 47% исследованных веб-приложений содержат как минимум одну критическую уязвимость. При этом более половины веб-приложений (53%) подвержены уязвимостям, успешная эксплуатация которых может нанести ущерб информационным активам компании.
Лидером среди проблем стала некорректная реализация контроля доступа — она встречается в 46% уязвимых приложений. Их эксплуатация позволяет злоумышленнику получать доступ к данным других пользователей, включая персональную информацию, читать и изменять данные в приложении, повышать привилегии и выполнять действия, недоступные через обычный интерфейс. На втором месте — критические уязвимости, которые приводят к возможности внедрения произвольного SQL-кода в запросы (14%). В одном из исследованных веб-приложений они позволили получить учётные данные пользователя с правами администратора и затем доступ к административной функциональности.
Отдельную угрозу представляют ошибки в самой бизнес-логике (9% случаев). Их успешная эксплуатация может привести к обходу установленных требований системы, повышению привилегий, получению доступа к чувствительной информации и прямым финансовым потерям.
ИБ-практика: корзина, обнуляющая склад
В ходе пентеста крупного интернет-магазина команда Solar ЈSОС обнаружила логическую ошибку. Система была настроена так, что количество доступного товара на складе уменьшалось сразу при добавлении его в виртуальную корзину, а не после фактической оплаты. При этом добавлять товары могли даже неавторизованные пользователи.
Этой уязвимостью легко мог воспользоваться злоумышленник: добавить в корзину весь ассортимент магазина. В результате реальные покупатели не смогли бы ничего приобрести, бизнес-процессы оказались бы парализованы, а компания понесла бы прямые финансовые потери.
Однако даже если ИТ-инфраструктура и приложения защищены безупречно, злоумышленники часто делают ставку на самую безотказную точку входа — самих сотрудников. Статистика проектов по тестированию методами социальной инженерии за 2025 год демонстрирует тревожную картину: в 100% случаев хотя бы один сотрудник переходил по вредоносной фишинговой ссылке. Более того, в 86% проектов пользователи вводили свои корпоративные учетные данные на поддельных веб-страницах или запускали вредоносные вложения. Полученные таким образом пароли злоумышленники затем используют для легитимного входа в корпоративные системы, полностью обходя технические средства защиты периметра.
Работа над ошибками: как грамотно снижать риски
Внешний и внутренний контуры компаний не являются статичными. Появление новых сервисов, публикация уязвимостей нулевого дня и ротация кадров постоянно меняют ландшафт угроз. Чтобы минимизировать риски успешного взлома, эксперты «Солара» рекомендуют комплексный подход:
- Проводите регулярные внешние и внутренние тестирования на проникновение. Хакеры не ждут — они постоянно ищут слабые места в защите компаний. Пентесты (как внешние, так и внутренние) выявляют уязвимости до того, как их найдут злоумышленники.
- Используйте действительно сложные, уникальные пароли. В комбинации должно быть минимум 10–12 разнообразных символов: заглавные и строчные буквы, цифры, знаки. Лучше брать слова, которые не связаны по смыслу, и ставить их в неожиданном порядке.
- Настройте периодическое автоматизированное сканирование информационных систем. Вручную проверять всё долго и дорого. Сканеры быстро и с минимальными затратами находят известные уязвимости и недостатки в сетевых сервисах и конфигурациях, экономя время специалистов.
- Анализируйте защищённость и логику приложений перед официальным запуском. Большинство уязвимостей как в бизнес-логике, так и в коде закладывается на этапе разработки. Проверка до релиза позволит избежать дорогостоящих исправлений в будущем.
