«Солар»: слабые пароли и их повторное использование — «слабое звено» в ИТ-системах российских компаний

По данным экспертов компании по анализу защищенности DSEC (входит в группу компаний «Солар»), основными недостатками ИТ-систем российских компаний в 2025 году стали слабые пароли, неправильные настройки контролей доступа и устаревшие программы. При этом в 73% случаев во внутренних сетях компаний сотрудники использовали пароли по умолчанию или использовали один и тот же пароль к разным учетным записям — это позволило бы хакерам не только получить доступ к различным внутренним системам и сервисам, но и скомпрометировать всю внутреннюю инфраструктуру. Такие выводы следуют из отчета «Ключевые уязвимости информационных систем российских компаний в 2025 году».

В отчете содержится аналитика по 390 проектам анализа защищенности и тестирования на проникновение, проведенным в российских компаниях с января по декабрь 2025 года. Среди заказчиков пентеста — ИТ-компании, организации из финансового сектора, промышленности и производства, ритейла и других отраслей. Среди них 53% — это коммерческие структуры, а 47% — госсектор. Для анализа и повышения уровня защищенности от киберугроз специалисты DSEC моделировали кибератаки на внешнем (14% от всех проектов) и внутреннем периметрах (20%) ИТ-систем организаций. Также эксперты проверили на наличие уязвимостей веб-приложения (45%), корпоративные Wi-Fi-сети, сертификации и десктоп-приложения (21%).

Так, по итогам всех проектов по анализу защищенности специалисты выявили в организациях 5,3 тыс. уязвимостей различного уровня критичности.

Внешний пентест

Анализ показал, что в 78% проектов по внешнему тестированию (моделированию кибератак на внешний ИТ-периметр компаний) хакер мог бы использовать уязвимости и недостатки для проникновения во внутреннюю сеть компании, скомпрометировать хосты внешнего периметра и/или получить доступ к чувствительным данным и критичным системам.

В 33% случаях главной уязвимостью оказались неправильные настройки контроля доступа, еще в 28% — устаревшие версии ПО. Также среди серьезных недостатков — внедрение вредоносного SQL-кода (20%), слабые и словарные пароли (20%) и выполнение вредоносного произвольного кода (13%).

По мнению экспертов DSEC, все эти уязвимости несут серьезную угрозу для безопасности компаний — к примеру, внедрение SQL-кода может привести к краже информации из баз данных, компрометации учетных записей, выполнению различных команд на сервере и т.д.

Внутренний пентест

В 87% проектах по внутреннему пентесту (моделированию атак из локальной сети заказчика на внутренний периметр компании для получения доступа к конфиденциальной информации) эксперты смогли, к примеру, получить контроль над доменом, доступ к различным базам данных и сервисам или прочим критичным объектам компании. При этом в среднем злоумышленник в одной компании имел бы как минимум два вектора получения контроля доступа над доменом.

Главными проблемами внутренних периметров российских компаний в 2025 году были слабые пароли или пароли по умолчанию (53% проектов), ПО с известными уязвимостями (42%), неправильные настройки контроля доступа к ИТ-системам (37%), уязвимые центры сертификации (22%) и повторное использование паролей (20%). Последнее говорит о том, что злоумышленник, скомпрометировавший одну учетную запись или один домен, мог бы получить доступ сразу к множеству внутренних систем и сервисов.

Уязвимости в приложениях и Wi-Fi-сетях

Эксперты DSEC изучили на предмет уязвимостей различные приложения. Анализ проектов по пентесту показал, что в 47% веб-приложений обнаружена хотя бы одна уязвимость высокого уровня критичности. Среди них чаще встречались недостатки, связанные с некорректной реализацией контроля доступа (46%) и с внедрением SQL-кода в запросы к базе данных (14%).

Специалисты также изучили исходный код веб-приложений. Так, в 42% изученных случаев он тоже содержал уязвимости, которые в руках хакеров могли бы нанести ущерб ИТ-активам компании. К примеру, в одном из случаев найденная уязвимость позволила бы злоумышленникам получить доступ к личной информации пользователей, включая паспортные данные и номера телефонов.

Помимо этого, были проанализированы десктоп-приложения — те, что устанавливаются через специальные установщики и для их работы не требуется подключения к интернету. В 50% из них была обнаружена хотя бы одна уязвимость.

Под анализ попали и корпоративные Wi-Fi-сети. Так, в 43% случаев уязвимости Wi-Fi-сетей и отсутствие корректных сетевых разграничений позволили бы хакерам получить доступ во внутреннюю сеть компании.

В дополнение специалисты DSEC провели симуляцию фишинговых рассылок, чтобы вычислить вероятность реализации кибератак из-за человеческого фактора. Так, в 100% случаев хотя бы один сотрудник перешел по вредоносной ссылке, а еще в 86% случаев сотрудники ввели свои учетные данные на фейковом сайте или запустили вредоносное ПО. Это дополнительно говорит о необходимости повышения уровня киберграмотности персонала.

Для повышения уровня защищенности российских компаний от киберургоз эксперты DSEC рекомендуют:

• Анализировать приложения на наличие уязвимостей перед их выводом в продуктивное использование;
• Проводить регулярные внешние и внутренние тестирования на проникновение в инфраструктуру компаний;
• Использовать комплексный подход к защите информационной инфраструктуры, который включает в себя защиту Wi-Fi-сетей, десктоп-приложений и других объектов инфраструктуры, а также постоянное повышение уровня осведомленности персонала в вопросах ИБ.

С полным отчетом об анализе защищенности российских компаний можно ознакомиться на сайте «Солара».