„Zdrvujúci dosah na chod systémov či celej organizácie nemá potenciálne iba jedna kritická zraniteľnosť, ale aj viacero tých menej závažných, ktoré môže útočník zreťaziť do deštruktívnej kombinácie, ktorú zneužije. V extrémnom prípade až na kompletné prevzatie kontroly nad cieľovým systémom spoločnosti,“ uviedol generálny riaditeľ spoločnosti Tomáš Zaťko.
Nájdené zraniteľnosti môžu podľa spoločnosti viesť k vzdialenému spusteniu škodlivého kódu, eskalácii privilégií alebo k dosiahnutiu hlavného cieľa pri simulácii útoku na IT infraštruktúru firiem. Útočník môže takisto získať rolu doménového administrátora, s ktorého oprávneniami dokáže prebrať kontrolu nad celou sieťou.
Bezpečnostné nedostatky môže využiť aj na preniknutie do databázovej vrstvy webovej aplikácie vložením vlastného SQL príkazu. SQL je programovací jazyk, ktorý umožňuje pracovať s dátami v relačných databázach, ktoré obsahujú aj citlivé informácie. K takémuto útoku podľa spoločnosti najčastejšie dochádza prostredníctvom neošetrených vstupných formulárov.
Etickí hackeri sa zamerali aj na preverovanie ľudského faktora, a to simuláciou útokov metódami sociálneho inžinierstva. „Úspešnosť simulovaných útokov, ktoré Citadelo vlani vykonalo s využitím týchto techník, je až 40 %. Znamená to, že takmer každá druhá obeť v novo testovaných spoločnostiach podľahla nástrahám etických hackerov,“ uzavrela spoločnosť.
Zdroj feed teraz.sk
