Веб-безопасность: итоги 2026 года и перспективы на будущее.
2025 год в очередной раз продемонстрировал, что веб-сервисы стали значимым цифровым активом для бизнеса. Публичная доступность приложений в сочетании с высоким уровнем автоматизации атак делает их идеальной целью для злоумышленников. Особенно уязвимыми оказались розничная торговля, финтех, промышленность, государственный сектор и здравоохранение.
Угрозы растут, а методы атак развиваются.
Объемы распространения вредоносного ПО через веб-ресурсы увеличились почти вдвое. Это повышает риски инцидентов, связанных с цепочкой поставок, и одновременно расширяет ответственность бизнеса и повышает регуляторные риски. Сегодня компрометация даже одного онлайн-сервиса может одновременно повлиять как на клиентов, так и на партнеров.
Если раньше злоумышленники в основном стремились украсть ценные данные, то сегодня они сосредоточены на уничтожении ИТ-инфраструктуры. Также возросло количество атак с использованием программ-вымогателей и программ-уничтожителей данных. Веб-приложения остаются удобным вектором атаки из-за их общедоступности и высокой скорости использования уязвимостей.
Тактика DDoS-атак также претерпела изменения. Злоумышленники теперь чаще используют короткие, импульсные атаки с регулярными паузами, растягивая кампании на длительные периоды. Такой подход затрудняет обнаружение и фильтрацию трафика, истощая ресурсы оперативных групп. В результате компании сталкиваются с постепенным ухудшением качества обслуживания, что делает инциденты менее заметными для систем мониторинга. Однако эти атаки длятся дольше и в совокупности наносят более значительный финансовый ущерб.
Ключевые уязвимости: «Медиазвезды» и «Рабочие лошадки»
Самой обсуждаемой уязвимостью 2025 года стала React2Shell (CVE-2025-55182). Уязвимость в React Server Components позволяла интерпретировать пользовательские данные как доверенные данные на стороне сервера. В результате злоумышленникам достаточно было всего одного HTTP-запроса для её использования, при этом вероятность успеха приближалась к 100%.
По различным оценкам, React используется примерно на 6% всех веб-сайтов и почти в 39% облачных сред. Многие современные фреймворки по умолчанию включают серверные компоненты. Поэтому эта уязвимость затронула миллионы приложений. До выпуска патчей единственной надежной защитой для многих компаний были решения WAF, которые выступали в качестве буфера между внешним трафиком и внутренней логикой приложения, позволяя сервису продолжать работу даже во время активной эксплуатации уязвимости.
Однако на фоне таких громких инцидентов, как React2Shell, легко упустить из виду тот факт, что большинство реальных атак по-прежнему основаны на давно известных уязвимостях. Это подтверждает рейтинг MITRE, опубликованный в 2025 году, в котором были выявлены 25 наиболее опасных и распространенных типов программных уязвимостей. Рейтинг стал ответом MITRE на значительный рост числа зарегистрированных CVE, которые в совокупности привели к обнаружению почти 50 000 конкретных уязвимостей.
Хотя методология MITRE охватывает универсальные тактики и методы атак, три верхние строчки в этом рейтинге заняли уязвимости веб-приложений:
CWE-79 (XSS) — межсайтовый скриптинг, позволяющий злоумышленникам выполнять действия от имени пользователей и красть данные.
CWE-89 (SQL-инъекция) — предоставление прямого доступа для извлечения или изменения данных и бизнес-логики.
CWE-352 (CSRF) — межсайтовая подделка запросов, позволяющая злоумышленникам выполнять действия от имени законных пользователей.
Тенденции и прогнозы
Предыдущий год ознаменовал собой поворотный момент в автоматизации атак. Злоумышленники начали широко использовать искусственный интеллект для поиска уязвимостей, анализа патчей и создания эксплойтов. В результате время между публикацией CVE и его эксплуатацией сократилось до нескольких часов, что сделало традиционную реактивную модель («патчи после обнаружения») неэффективной.
Однако технические уязвимости — не единственные векторы атак. Учетные данные пользователей по-прежнему остаются ценным активом для злоумышленников. Особенно популярными стали атаки типа «подбор паролей», когда хакеры применяют небольшой набор слабых или предсказуемых паролей (например, Winter2024!, Password1) ко многим учетным записям, чтобы обойти ограничения на частые попытки входа в систему. Эти атаки наиболее эффективны, когда многофакторная аутентификация (МФА) отсутствует или настроена неправильно. Вот лишь пара реальных примеров:
Атака на Microsoft 365 с использованием ботнета из 130 000 устройств осуществлялась с применением метода перебора паролей (Password Spraying) в сочетании с неинтерактивным входом в систему, что позволяло обойти политики условного доступа и многофакторной аутентификации (MFA).
RansomHub через RDP. Эта серия атак, начавшаяся в 2024 году, включала в себя перебор паролей через открытый RDP, что привело к развертыванию программы-вымогателя всего через 118 часов. Злоумышленники использовали эксплойт Mimikatz для сброса учетных данных и перемещения по сети, а затем похитили до 2 ГБ данных через Rclone и зашифровали инфраструктуру.
В 2026 году не произойдет никаких фундаментальных изменений в характере уязвимостей веб-приложений. XSS, SQLi и CSRF останутся на первом месте. Однако набор инструментов злоумышленников станет более мощным. Для бизнеса это означает, что окно для реагирования сократится до минимума.
2025 год в очередной раз продемонстрировал, что веб-сервисы стали значимым цифровым активом для бизнеса. Публичная доступность приложений в сочетании с высоким уровнем автоматизации атак делает их идеальной целью для злоумышленников. Особенно уязвимыми оказались розничная торговля, финтех, промышленность, государственный сектор и здравоохранение.
Угрозы растут, а методы атак развиваются.
Объемы распространения вредоносного ПО через веб-ресурсы увеличились почти вдвое. Это повышает риски инцидентов, связанных с цепочкой поставок, и одновременно расширяет ответственность бизнеса и повышает регуляторные риски. Сегодня компрометация даже одного онлайн-сервиса может одновременно повлиять как на клиентов, так и на партнеров.
Если раньше злоумышленники в основном стремились украсть ценные данные, то сегодня они сосредоточены на уничтожении ИТ-инфраструктуры. Также возросло количество атак с использованием программ-вымогателей и программ-уничтожителей данных. Веб-приложения остаются удобным вектором атаки из-за их общедоступности и высокой скорости использования уязвимостей.
Тактика DDoS-атак также претерпела изменения. Злоумышленники теперь чаще используют короткие, импульсные атаки с регулярными паузами, растягивая кампании на длительные периоды. Такой подход затрудняет обнаружение и фильтрацию трафика, истощая ресурсы оперативных групп. В результате компании сталкиваются с постепенным ухудшением качества обслуживания, что делает инциденты менее заметными для систем мониторинга. Однако эти атаки длятся дольше и в совокупности наносят более значительный финансовый ущерб.
Ключевые уязвимости: «Медиазвезды» и «Рабочие лошадки»
Самой обсуждаемой уязвимостью 2025 года стала React2Shell (CVE-2025-55182). Уязвимость в React Server Components позволяла интерпретировать пользовательские данные как доверенные данные на стороне сервера. В результате злоумышленникам достаточно было всего одного HTTP-запроса для её использования, при этом вероятность успеха приближалась к 100%.
По различным оценкам, React используется примерно на 6% всех веб-сайтов и почти в 39% облачных сред. Многие современные фреймворки по умолчанию включают серверные компоненты. Поэтому эта уязвимость затронула миллионы приложений. До выпуска патчей единственной надежной защитой для многих компаний были решения WAF, которые выступали в качестве буфера между внешним трафиком и внутренней логикой приложения, позволяя сервису продолжать работу даже во время активной эксплуатации уязвимости.
Однако на фоне таких громких инцидентов, как React2Shell, легко упустить из виду тот факт, что большинство реальных атак по-прежнему основаны на давно известных уязвимостях. Это подтверждает рейтинг MITRE, опубликованный в 2025 году, в котором были выявлены 25 наиболее опасных и распространенных типов программных уязвимостей. Рейтинг стал ответом MITRE на значительный рост числа зарегистрированных CVE, которые в совокупности привели к обнаружению почти 50 000 конкретных уязвимостей.
Хотя методология MITRE охватывает универсальные тактики и методы атак, три верхние строчки в этом рейтинге заняли уязвимости веб-приложений:
CWE-79 (XSS) — межсайтовый скриптинг, позволяющий злоумышленникам выполнять действия от имени пользователей и красть данные.
CWE-89 (SQL-инъекция) — предоставление прямого доступа для извлечения или изменения данных и бизнес-логики.
CWE-352 (CSRF) — межсайтовая подделка запросов, позволяющая злоумышленникам выполнять действия от имени законных пользователей.
Тенденции и прогнозы
Предыдущий год ознаменовал собой поворотный момент в автоматизации атак. Злоумышленники начали широко использовать искусственный интеллект для поиска уязвимостей, анализа патчей и создания эксплойтов. В результате время между публикацией CVE и его эксплуатацией сократилось до нескольких часов, что сделало традиционную реактивную модель («патчи после обнаружения») неэффективной.
Однако технические уязвимости — не единственные векторы атак. Учетные данные пользователей по-прежнему остаются ценным активом для злоумышленников. Особенно популярными стали атаки типа «подбор паролей», когда хакеры применяют небольшой набор слабых или предсказуемых паролей (например, Winter2024!, Password1) ко многим учетным записям, чтобы обойти ограничения на частые попытки входа в систему. Эти атаки наиболее эффективны, когда многофакторная аутентификация (МФА) отсутствует или настроена неправильно. Вот лишь пара реальных примеров:
Атака на Microsoft 365 с использованием ботнета из 130 000 устройств осуществлялась с применением метода перебора паролей (Password Spraying) в сочетании с неинтерактивным входом в систему, что позволяло обойти политики условного доступа и многофакторной аутентификации (MFA).
RansomHub через RDP. Эта серия атак, начавшаяся в 2024 году, включала в себя перебор паролей через открытый RDP, что привело к развертыванию программы-вымогателя всего через 118 часов. Злоумышленники использовали эксплойт Mimikatz для сброса учетных данных и перемещения по сети, а затем похитили до 2 ГБ данных через Rclone и зашифровали инфраструктуру.
В 2026 году не произойдет никаких фундаментальных изменений в характере уязвимостей веб-приложений. XSS, SQLi и CSRF останутся на первом месте. Однако набор инструментов злоумышленников станет более мощным. Для бизнеса это означает, что окно для реагирования сократится до минимума.
