С января по июнь 2025 г. российские компании подверглись более 600 млн веб-атак, сообщает в полугодовом отчете компания "Вебмониторэкс". В числе главных целей оказались финансовый и ИТ-секторы, электронная коммерция и госсектор. В тройке самых распространённых векторов — XSS, RCE и брутфорс. Четверть атак связана с межсайтовым скриптингом, а почти 60% всех попыток эксплуатации уязвимостей — с критически опасной Log4Shell.
Общая динамика: атакуют часто, автоматизированно и массово
Отчет составлен на основе агрегированных данных более чем по 170 крупным организациям из разных отраслей. Атаки фиксировались как по заранее выбранным целям, так и в рамках массовых автоматизированных сканирований и попыток перебора.
Ключевые цифры:
- Более 600 млн атак за полугодие;
- пик активности пришелся на I квартал;
- основные методы — внедрение вредоносного кода, удаленное выполнение команд, перебор паролей, атаки на файловую структуру приложений.
XSS, RCE и брутфорс — главные методы атаки
- XSS (25%) — межсайтовый скриптинг, который позволяет злоумышленнику перехватывать данные пользователей, внедрять фишинговые формы и исполнять вредоносный JavaScript. Особенно массово применяется в e-commerce.
- RCE (14%) — удаленное выполнение кода. Один из самых опасных типов атак, дающий полный контроль над системой.
- Брутфорс (14%) — перебор паролей, чаще всего через credential stuffing — автоматизированную проверку утекших логинов и паролей.
- Path Traversal (12%) — атаки на файловую систему через уязвимости фильтрации путей.
- SQL-инъекции (5%) — вмешательство в запросы к базе данных, особенно актуальны для ИТ и госсектора.
Финансы под огнем, госструктуры — под брутфорсом
- Финансовый сектор — в среднем по 4,1 млн атак на организацию. Почти половина инцидентов — это RCE и Path Traversal. Хакеры применяют сложные техники с целью установить контроль над системами и украсть деньги или данные.
- ИТ-компании — около 2,6 млн атак на компанию. Часто используются SQL-инъекции и автоматическое сканирование. Против подрядчиков и провайдеров может вестись атака как на шлюз для выхода к инфраструктуре клиентов (атака на цепочку поставок).
- E-commerce — в среднем 1,2 млн атак на компанию, почти 50% — XSS. Риски связаны с высокой интерактивностью сайтов и повторным использованием паролей клиентами.
- Госсектор — в среднем 966 тыс. атак. На первом месте — Credential Stuffing (50%). Угроза состоит в компрометации как аккаунтов граждан, так и служебных учетных записей.
Log4Shell и старые CVE по-прежнему в игре
59% всех попыток эксплуатации пришлись на CVE-2021-44228 (Log4Shell) — критическую RCE-уязвимость в библиотеке Log4j. Даже спустя несколько лет после обнаружения она остается главной целью атак из-за широкой распространенности Java-приложений и простоты эксплуатации.
Среди других CVE:
- CVE-2021-28169 (13%) — Path Traversal в сервере Jetty;
- CVE-2009-4679, CVE-2010-0157, CVE-2017-9841 и др. — старые, но все эффективные в условиях неактуализированной инфраструктуры.
Важно: большинство эксплуатируемых CVE были выявлены 10–15 лет назад, однако продолжают использоваться, поскольку компании не спешат с обновлениями.
Выводы и рекомендации
- XSS, RCE и credential stuffing — ключевые угрозы вне зависимости от отрасли.
- Финансовый сектор — лидер по количеству атак и сложности векторов.
- Старые CVE продолжают эффективно эксплуатироваться, несмотря на наличие патчей.
- Автоматизация атак и использование сканеров требуют от компаний не только защиты, но и проактивного обнаружения уязвимостей.
- Использование решений уровня WAF с функцией постоянной актуализации детектов помогает сократить окно уязвимости.
Ссылка на полный отчет: https://webmonitorx.ru/wp-content/uploads/analytical-report.pdf
