Эксперты «Нейроинформ» выявили ключевые уязвимости среднего бизнеса по итогам II квартала 2025 года

Компания «Нейроинформ», специализирующаяся на анализе и оценке киберугроз, провела исследование уязвимостей...

Компания «Нейроинформ», специализирующаяся на анализе и оценке киберугроз, провела исследование уязвимостей инфраструктуры российских компаний, представляющих средний бизнес, по итогам II квартала 2025 г. Аналитики обнаружили, что количество уязвимостей в ПО и ошибках конфигураций в среднем бизнесе во II квартале 2025 г. выросло на 37% по сравнению с аналогичным периодом прошлого года. Специалисты связывают этот рост с недостатками патч-менеджмента в организациях, трудностями импортозамещения, а также совершенствованием средств обнаружения. При этом эксперты также выявили положительную тенденцию, зафиксировав сокращение числа уязвимостей, связанных с отсутствием механизмов защиты от подбора учетных данных.

По итогам II квартала 2025 г. в топ-3 уязвимостей инфраструктуры среднего бизнеса вошли отсутствие механизмов противодействия подбору учётных записей и паролей (58%), использование уязвимого ПО (19%) и ошибки конфигурации (15%). Также было зафиксировано много случаев такой известной уязвимости, как использование данных из утечек для получения доступа к сервисам компании.

Отсутствие механизмов противодействия подбору логинов и паролей является серьезной проблемой. Более половины всех обнаруженных недостатков безопасности были связаны с отсутствием ограничений на количество неудачных попыток ввода паролей, а также механизмов CAPTCHA, призванных защищать ресурсы от атак перебором паролей и от спама. Аналитики определили, что возможность подбора пары логин-пароль в панелях аутентификации веб-сервисов составляет 25% всех случаев, возможность подбора доменных учетных данных через сервис OWA – 14% случаев, а возможность подбора паролей при аутентификации по протоколу SSH – 9% случаев. Отсутствие таких механизмов не несет прямой опасности инфраструктуре, так как для реализации атак требуются дополнительные условия (например, слабые пароли или отсутствие второго фактора). Однако отсутствие защитных механизмов позволяет автоматизировать атаки и сильно повышает вероятность успеха.

Использование уязвимого ПО также вредит компаниям. Часть обнаруженных недостатков связана с использованием уязвимых или устаревших компонентов систем. Это могут быть уязвимые операционные системы, уязвимые прошивки, уязвимые модули CRM и CMS. Из общего числа обнаруженных уязвимостей 9% являются критическими, 22% относятся к высокому уровню, 29% к среднему уровню и 40% представляют низкий уровень. Критические уязвимости и уязвимости высокого уровня обычно не требуют для эксплуатации дополнительных условий, и в зависимости от конкретной уязвимости, могут предоставлять злоумышленнику полный контроль над уязвимым компонентом, доступ к конфиденциальной информации и возможность развивать атаку вглубь инфраструктуры. Уязвимости среднего и низкого уровня могут раскрывать чувствительную информацию, которую можно использовать для развития атак.

Ряд недостатков связан с ошибками конфигурации. Сюда относятся доступные из интернета открытые директории и файлы, чрезмерные привилегии пользователей и сервисных аккаунтов, включенные тестовые и отладочные режимы, неправильно настроенные правила в Firewall, слабые или отсутствующие пароли, отсутствие или неправильная конфигурация средств защиты и др. Из общего числа всех уязвимостей этого типа использование слабых или стандартных паролей составляет 25%, ошибки политик безопасности занимают 22%, а отсутствие средств защиты 7%.

При проведении ИБ-аудитов среднего бизнеса экспертам «Нейроинформ» много раз удавалось обнаружить данные сотрудников компаний в базах утечек. Эта информация может быть использована в атаках социальной инженерии, когда к сотруднику компании обращаются от имени стороннего сервиса, где произошла утечка, зная его имя пользователя, контактные данные, дату регистрации, место работы и другую чувствительную информацию. При этом часто для регистрации в сторонних сервисах используются не только корпоративные адреса электронной почты, но и те же пароли. В связи с этим обучение сотрудников правилам информационной гигиены по-прежнему актуально.

Эксперты «Нейроинформ» также выявили заметный рост осведомленности сотрудников компаний среднего бизнеса в вопросах кибербезопасности по итогам II квартала 2025 г., что должно привести к снижению числа атак с использованием социальной инженерии в данном сегменте рынка.

Адрес новости:
https://safe.cnews.ru/news/line/2025-07-16_eksperty_nejroinform_vyyavili