92% External Web Apps có lỗ hổng hoặc điểm yếu bảo mật có thể khai thác

05/11/2018

Theo một nghiên cứu gần đây, 98% các công ty hàng đầu ở Mỹ và châu Âu có thể bị tấn công bởi tội phạm mạng thông qua các ứng dụng web của họ. Con số này đã gây sốc cho các công ty cũng như các nhà nghiên cứu.

Hầu hết các công ty lớn đều thừa nhận rằng vẫn còn nhiều Shadow IT và ứng dụng mà họ không biết, và điều này khiến cho họ dễ bị tấn công. Nó thường được các doanh nghiệp đưa vào danh sách các nguy cơ “chấp nhận được”.

Shadow IT, còn được gọi là Stealth IT hoặc Client IT, là các hệ thống và giải pháp công nghệ thông tin được xây dựng và sử dụng trong các tổ chức mà không có sự chấp thuận của tổ chức rõ ràng, cụ thể là các giải pháp được chỉ định và triển khai bởi các bộ phận khác ngoài bộ phận CNTT.

Mục đích của nghiên cứu được thực hiện bởi High-Tech Bridge (HTB) là cho các doanh nghiệp thấy được rằng vấn đề là nghiêm trọng hơn rất nhiều so với những gì họ tưởng tượng.

Người sáng lập cũng là CEO của HTB cho biết “Chúng ta đều biết có shadow IT – khoảng 250 ứng dụng, nhưng thực tế không phải vậy, bạn có khoảng 8000 shadow IT applications”. Những ứng dụng này tiềm tàng các nguy cơ tấn công và những rủi ro.

Trong nghiên cứu này, HTB đã sử dụng bốn sản phẩm quét không xâm nhập miễn phí (Discovery, SSLScan, WebScan và Mobile App Scanner) để định lượng các lỗ hổng và điểm yếu của các công ty  thuộc FT US 500 và FT Europe 500 công ty. Điều quan trọng cần lưu ý là các lần quét không xâm phạm này không phát hiện tất cả các lỗ hổng – chỉ những lỗ hổng bị phơi nhiễm trên internet. Nhưng nếu HTB có thể nhìn thấy chúng thông qua internet, thì tin tặc cũng có thể dễ dàng thực hiện điều này.

Những con số được trả về là đáng kinh ngạc. Đầu tiên, 500 công ty lớn nhất của Hoa Kỳ có 293,512 hệ thống bên ngoài có thể truy cập từ internet. 42,549 có một live web application với nội dung và chức năng động. Số liệu cho 500 công ty lớn nhất châu Âu là 112.750 và 22.162. Kolochenko chỉ ra rằng những con số này bị lệch đi một phần bởi  một số công ty Mỹ, với các hãng như Apple, Google, Facebook và Microsoft, mỗi hãng có hàng nghìn máy chủ và hàng nghìn ứng dụng.
discovery-ai-1.png
Kết quả không so sánh các công ty Mỹ và châu Âu. Ngoài sự khác biệt về kích thước, có sự khác biệt về văn hóa. Châu Âu là bảo thủ trong khi Bờ biển phía Tây nói riêng là nhà của sự đổi mới và thử nghiệm.

Tuy nhiên, theo báo cáo, một công ty Mỹ có trung bình 86,5 ứng dụng có thể dễ dàng bị lộ ra bên ngoài và không được bảo vệ bởi 2FA, xác thực mạnh hoặc các biện pháp bảo mật khác nhằm giảm khả năng tiếp cận ứng dụng cho các bên không đáng tin cậy. Đối với một công ty EU, có 46 ứng dụng như vậy cho mỗi công ty.

HTB có phương pháp phân loại riêng dựa trên điểm số trên 100 và từ A đến F. Nghiên cứu cho thấy 48,1% máy chủ web của Hoa Kỳ đạt được điểm A cho mã hóa SSL / TLS của họ – nhưng 32,21% có cấp F. Thực tế, 7.82% vẫn có giao thức SSL v3 bị lỗi và không được chấp nhận nữa. Ở châu Âu, con số này là 62,4% ở mức A, 16,02% ở mức F và 5,15% với SSLv3 được bật.

Nghiên cứu cũng kiểm tra các chỉ dẫn bên ngoài về sự tuân thủ với PCI DSS và GDPR để đánh giá mức độ bảo mật cho các ứng dụng phải đối mặt với Internet. Đối với PCI, nó cho thấy chỉ có 16,4% máy chủ web của Hoa Kỳ có cấu hình SSL / TLS tương thích với PCI DSS 3.2.1 (và chỉ có 14.7% ở châu Âu). Báo cáo lưu ý, “một cấu hình không tương thích với PCI DSS không có nghĩa luôn là mã hóa kém, nhưng trong nhiều trường hợp thì là như vậy.”

Trên các chỉ dẫn về tuân thủ GDPR, 16,2% các công ty Hoa Kỳ có ít nhất hai ứng dụng web cho phép nhập thông tin nhận dạng cá nhân (PII) (ví dụ: thông qua biểu mẫu web) và chạy phiên bản SSL / TLS dễ bị tổn thương và / hoặc lỗi thời và dễ bị tổn thương CMS hoặc phần mềm web khác. Nó chỉ thấp hơn một chút ở châu Âu ở mức 15,4%. “Số lượng các ứng dụng web không tuân thủ có thể cao hơn nhiều,” bình luận báo cáo, “nhưng không thể nói có bao nhiêu trang web đã lỗi thời và dễ bị tổn thương thực sự xử lý hoặc lưu trữ PII mà không tiến hành thử nghiệm xâm nhập.”

Nghiên cứu của HTB cũng tìm thấy:

Chỉ có 2,94% các công ty ở Hoa Kỳ đạt được điểm A để đảm bảo an ninh và cấu hình máy chủ web được thực hiện đúng cách. Hầu hết, 76,9% điểm F. Điểm số ở châu Âu gần như giống hệt nhau ở mức 2,98% và 76,9%.
Chỉ có 9,1% các công ty Hoa Kỳ có chính sách bảo mật nội dung được bật và được cấu hình đúng (CSP) được sử dụng để giảm thiểu các cuộc tấn công XSS và CSRF ở phía máy chủ. Tệ hơn ở châu Âu chỉ là 4,39%.
8% ứng dụng web ở Hoa Kỳ (15,8% ở châu Âu) sử dụng phần mềm của bên thứ ba (CMS, JQuery, SharePoint) đã lỗi thời và chứa ít nhất một lỗ hổng được tiết lộ công khai.
94% tất cả các cài đặt WordPress của Hoa Kỳ (99,5% ở châu Âu) có vị trí quản trị mặc định không được bảo vệ bằng các phương tiện khác như xác thực .htaccess bổ sung hoặc white list IP, thực hiện các cuộc tấn công xác thực – bao gồm thông qua plug-in bị xâm phạm.
98,4% các ứng dụng web của Hoa Kỳ (98,1% ở châu Âu) không có tường lửa ứng dụng web (WAF) hoặc có trong chế độ quá dễ dàng.
0,91% các ứng dụng web của Hoa Kỳ (0,63% ở châu Âu) cung cấp giao diện web bị phơi nhiễm của các hệ thống ICS / SCADA hoặc IoT nội bộ
27% các công ty Hoa Kỳ (12% các công ty châu Âu) có ít nhất một lưu trữ đám mây bên ngoài (ví dụ một S3 bucket) có thể truy cập từ internet mà không cần bất kỳ xác thực nào. Quét không xâm nhập của HTB không biết lưu trữ chứa gì, nhưng báo cáo nhận xét, “Một số tệp trong kho được đánh dấu rõ ràng là” nội bộ “chỉ ra rằng các tài nguyên đám mây này có thể không nên được chia sẻ.
221 công ty Hoa Kỳ có tổng số 1.232 lượt submissions lỗ hổng trên Open Bug Bounty – trong đó 462 chưa được vá. 162 công ty châu Âu có 625 lần gửi lỗ hổng, trong đó 210 vẫn chưa được vá.
62% các công ty Hoa Kỳ có ít nhất một quyền truy cập trang web được bán trên Dark Web (78% các công ty châu Âu)
( Theo Phòng Nghiệp Vụ Trích từ Security Daily )