Tazabek - На сегодняшний день наблюдается тенденция к увеличению уровня кибербезопасности, однако в ряде веб-ресурсов Кыргызстана были выявлены серьезные уязвимости, которые нуждаются в исправлении в кратчайшие сроки. Об этом говорится в отчете о результатах анализа защищенности интернет-ресурсов государственных органов Кыргызской Республики. Отчет подготовлен Ассоциацией DRA совместно с TSARKA.

В рамках исследования были проанализированы веб-ресурсы 75 государственных органов Кыргызской Республики. Оценка проводилась по ключевым критериям, позволяющим объективно определить уровень их защищённости и выявить потенциальные уязвимости.

75 веб-ресурсов были проверены на предмет наличия уязвимости:

• использование уязвимых или устаревших технологий;
• безопасность почтовых серверов;
• безопасность контента и передачи данных;
• шифрование трафика и утечки информации;
• конфигурация веб-сервера;
• соответствие стандартам.
  
  В периметр анализа защищенности вошли следующие веб-ресурсы госорганов КР:

Результаты оценки защищенности

В рамках исследования было проведено сканирование 75 государственных веб-сайтов по 8 категориям безопасности: DNS-конфигурация, открытые порты, субдомены, репутация, SSL-сертификаты, открытые пути, используемые технологии и уязвимости (CVE), а также заголовки безопасности.

Лишь 3 сайта преодолели оценку в 70%. Наиболее частыми проблемами стали отсутствие HTTP-заголовков безопасности, открытые критические пути и устаревшие компоненты.

Средний показатель защищенности — 56%

Это указывает на неоднородность подхода к кибербезопасности в большинстве случаев.

Выявленные уязвимости и ошибки конфигурации свидетельствуют о необходимости дальнейшего совершенствования мер киберзащиты.

Шифрование трафика

Описание критерия

Проведен автоматизированный анализ веб-ресурсов государственных органов для выявления уязвимостей в шифровании трафика, настройках серверов, защите веб-приложений, почтовых сервисов и используемого ПО. Проверка выполнялась безопасными методами — через анализ HTTP- и DNS-заголовков, TLS- сертификатов, публичных эндпоинтов и версий компонентов. Результаты сопоставлялись с известными базами уязвимостей (CVE, NVD).

Описание потенциальной атаки

Злоумышленники могут перехватывать данные при слабом шифровании, внедрять вредоносный код, обходить аутентификацию и использовать уязвимости серверов. Ошибки конфигурации и отсутствие базовых мер безопасности позволяют получить несанкционированный доступ или подделывать официальные ресурсы.

Негативные последствия

Атаки могут привести к утечке персональных данных, компрометации систем и снижению доверия к госуслугам. Возможны распространение вредоносного ПО, финансовые потери и угрозы национальной безопасности.

Детальный анализ и перечень проверок, которые проводились относительно шифрования трафика приведены далее:

• Недостатки в конфигурировании алгоритма Диффи – Хеллмана;
• Уязвимость FREAK;
• Уязвимость Beast;
• Уязвимость Heartbleed;
• Поддержка Forward Secrecy;
• Поддержка устаревших версий TLS (1.0, 1.1) и SSL (2.0, 3.0);
• Версия TLS;
• Уязвимость POODLE;
• Уязвимость ROBOT;
• Возможность проведения атаки Logjam;
• CVE-2019-5096, CVE-2019-5097;
• CVE-20162107, CVE-2013-2566.
• Используемые шифры и их стойкость, поддержка RC4;

  ---

  8 критичных из 75 интернет-ресурсов без сертификата безопасности

  ---

Статистические данные:

33 веб-сайтов используют версию TLS 1.2;
20 веб-сайтов имеют максимальную оценку;
15 центров сертификации выдавали сертификаты.

Репутация домена

Описание критерия

Проверка репутации домена проводится с целью выявления его присутствия в чёрных списках (blacklists), антивирусных базах, базах фишинговых сайтов и спам-листах. Анализ осуществляется с использованием открытых сервисов (VirusTotal, Google Safe Browsing, Spamhaus, OpenPhish и др) и автоматизированных инструментов, позволяющих определить, был ли домен замечен в вредоносной активности или используется для распространения фишинга, спама или атак.

Описание потенциальной атаки

Плохая репутация домена может указывать на его компрометацию. Это может быть результатом фишинговых кампаний, вредоносного ПО или неправильной конфигурации. Такие домены могут блокироваться браузерами и антивирусами, что снижает доверие пользователей.

Негативные последствия

Низкая репутация домена приводит к блокировке сайта антивирусными системами и браузерами, снижению доверия пользователей, потере органического трафика и возможным правовым последствиям. В результате граждане могут подвергнуться фишинговым атакам, а организация потеряет контроль над своей цифровой репутацией. Если домен будет использован в распространении спама или вредоносного контента, он может быть заблокирован поисковыми системами и почтовыми провайдерами.

0 из 75 из веб-ресурсов имеют отрицательную репутацию

Открытые пути

Описание критерия

Проверка проводилась на наличие открытых директорий, файлов конфигурации, резервных копий и админ-панелей.  WebTotem автоматически сканирует популярные пути (например, /admin, /backup, /config.php), чтобы выявить потенциальные точки утечки данных и незащищённые интерфейсы.

Описание потенциальной атаки 

Открытые пути могут дать злоумышленникам доступ к конфиденциальным данным — резервным копиям, файлам конфигурации с учётными данными или исходному коду. Незащищённые административные директории позволяют проводить подбор паролей (Brute Force) или использовать уязвимости в интерфейсах управления.

Негативные последствия

Доступ к критически важным файлам может привести к утечке данных, взлому учётных записей и захвату сайта. Злоумышленники могут внедрить вредоносный код, изменить содержимое или использовать сервер для последующих атак, что создаёт серьёзные риски для безопасности и репутации организации.

29 из 75 веб-ресурсов имеют минимум 2 критичных открытых путей

Открытые порты

Описание потенциальной атаки

Злоумышленники могут использовать открытые порты для обнаружения сервисов, атак на устаревшее ПО или перебора паролей. Неавторизованный доступ к FTP, RDP, MySQL или другим сервисам позволяет захватить контроль над сервером или провести дальнейшую атаку.

Описание критерия

Анализ выполнялся для выявления нестандартных (не дефолтных) открытых портов, которые могут представлять угрозу. Проверялись доступные извне сетевые сервисы, их версии и потенциальные уязвимости, исключая стандартные порты (80, 443 и др.), необходимые для работы веб-ресурса.

Негативные последствия

Открытые нестандартные порты увеличивают риск утечки данных, взлома серверов и проникновения в сеть организации. Уязвимые сервисы могут быть использованы для удалённого доступа, внедрения вредоносного кода или включения серверов в ботнет.

34 веб-ресурса из 75 имеют критичные открытые порты

Software composition

30 интернет-ресурсов подвержены атакам OWASP Top 10

111 найдено CVE на 42 интернет-ресурсах

Наиболее часто встречающиеся CVE: CVE-2024-0660, CVE-2024-6526, CVE-2022-31630

Субдомены

Описание потенциальной атаки

Анализ субдоменов проводился для выявления уязвимых или забытых компонентов, а также оценки масштабов и защищённости цифровой инфраструктуры государственных ресурсов.

Описание потенциальной атаки

• Старые, неиспользуемые или неправильно настроенные субдомены могут стать точкой входа для атак — например, подмены содержимого (subdomain takeover), фишинга или запуска вредоносного кода.
• Компрометация субдомена может привести к распространению вредоносного ПО от имени официального ресурса, кражам данных пользователей и подрыву доверия к государственным сайтам.

Веб-ресурсы, с лучшими результатами проверки субдоменов:

HTTP Security заголовки

56 интернет ресурсов имеют низкие показатели по HTTP Security

Топ-3 отсутствующих заголовков безопасности:

• cross-origin-opener-policy
• content-security-policy
• x-permitted-cross-domain-policies

Веб-ресурсы, с наилучшим показателями по Security Headers:

• esep.kg
• mfa.gov.kg
• gknb.gov.kg
• bishkek.gov.kg

  ---

Анализ DNS

Описание критерия

Проводился анализ DNS-записей для оценки защищённости домена, конфигурации почтовой инфраструктуры и наличия базовых механизмов защиты. Проверялись записи DNSSEC, CNAME, MX, SPF, DKIM, DMARC, а также доступность SMTP-портов и наличие Web Application Firewall (WAF).

Негативные последствия

Компрометация DNS может привести к перехвату электронной переписки, перенаправлению пользователей на вредоносные сайты, подрыву доверия к организации и репутационным потерям.

Описание потенциальной атаки

Ошибки в настройке DNS могут позволить злоумышленникам подменить домен (DNS spoofing), отправлять фишинговые письма от имени организации или обойти фильтрацию трафика.

75 доменных имен показали недостатки в настройке DNS: TXT, CAA, DMARC, NS, DNSSEC, MX, DNS WAF, SPF, SOA.

Веб-ресурсы, с наилучшими показателями по сканированию DNS:

Результаты анализа защищенности веб-ресурсов Кыргызской Республики показали наличие тенденции к увеличению уровня кибербезопасности, однако в ряде веб-ресурсов были выявлены серьезные уязвимости, которые нуждаются в исправлении в кратчайшие сроки.

Основные уязвимости касаются неправильной настройки DNS, отсутствия базовой защиты от фишинга и спуфинга, наличия открытых портов и директорий, а также устаревших технологий с известными уязвимостями

Некоторые интернет-ресурсы находятся на минимальном уровне защищенности, несмотря на публичную значимость и потенциальные риски утечки данных или компрометации.

Рекомендации:

• Провести централизованный аудит и стандартизацию конфигураций;
• Обновить устаревшие компоненты веб-приложений и внедрить системы мониторинга уязвимостей;
• Назначить ответственных за кибербезопасность в каждом ведомстве;
• Обязать использование базовых мер защиты электронной почты (SPF, DKIM, DMARC);
• Исключить доступ к критически важным административным и резервным путям;
• Внедрить систему регулярного автоматического сканирования и оценки уровня безопасности всех сайтов.