Большинство правительственных веб-сайтов содержат устаревшие программы с известными уязвимостями, говорят исследователи из Центра кибербезопасности Optus Macquarie.
Трехлетний аудит [pdf] более чем 1800 внешних веб-сайтов штатов, территорий и федеральных органов власти показал, что, несмотря на общее улучшение кибербезопасности, многие страницы остаются уязвимыми для атак и небезопасной передачи данных.
“Хорошая новость заключается в том, что безопасность правительственных веб-сайтов значительно улучшилась: с 36 процентов, принявших безопасный протокол HTTPS в 2018 году, до 84 процентов, использующих HTTPS в 2020 году”, — сказал исполнительный директор Optus Macquarie Cyber Security Hub профессор Дали Каафар.
Из тех, кто действительно использует HTTPS, 3,9 процента сайтов федерального правительства и 7,4 процента правительств штатов и территорий представляют собой небезопасные конфигурации серверов из-за слабых криптографических механизмов, поддержки уязвимых протоколов или ненадежных сертификатов, что потенциально подвергает клиентскую информацию риску быть перехваченной плохими игроками, говорят исследователи.
Кроме того, исследователи заявили, что 70 процентов веб-страниц штатов или территорий и почти 60 процентов веб-страниц федерального правительства содержат по крайней мере одну устаревшую библиотеку JavaScript с известными уязвимостями.
Исследователи заявили, что эти проблемы могут подвергнуть пользователей нескольким угрозам, “особенно межсайтовому скриптингу (XSS), в котором удаленные злоумышленники используют известные уязвимости для внедрения произвольного сценария/кода на веб-страницу”.
«Учитывая общий набор австралийских правительственных веб-сайтов (федеральных правительственных и государственных/территориальных), мы обнаружили 2004 случая уязвимых библиотек на 1862 веб-сайтах», — сказали исследователи.
— Мы найдем это … большинство веб-страниц (>57%) содержат по крайней мере одну уязвимую библиотеку.
«Большинство уязвимостей связано со старыми версиями популярных библиотек, таких как jQuery (например, более 33 процентов австралийских правительственных веб — сайтов используют старые версии 1.4.4-1.12.4, в то время как последняя версия-3.4.1), jQuery UI (уязвимые версии библиотек обнаружены в 10 процентах веб-сайтов) и Bootstrap (5,5 процента правительственных веб-сайтов с устаревшими версиями библиотек).»
Исследователи использовали звездную рейтинговую систему для сравнения государственных и федеральных киберпозиций, причем пять звезд представляли “отличную” безопасность.
Каафар предупредил, что, несмотря на общее улучшение безопасности веб-страниц, “преступникам требуется только небольшая трещина в окне, чтобы проникнуть в дом”.
Первый ежегодный отчет федерального правительства об угрозах кибербезопасности, опубликованный в сентябре, показал, что за последний финансовый год было зарегистрировано 2266 инцидентов кибербезопасности и 59 806 сообщений о киберпреступности, а с марта начался рост числа мошенничеств на тему Covid-19.
