Comodos forum bliver hacket, når virksomheden ikke har brugt en sikkerhedspatch til tiden
Vi får ofte at sige på disse sider, hvor vigtige softwareopdateringer er, ikke kun på grund af de nye funktioner og ydelsesforbedringer, men også på grund af sikkerhedsrettelser. Mandag gav Comodo, som ironisk nok er et sikkerhedsfirma, en historie, der illustrerer, hvad der kunne ske, når de nævnte programrettelser ikke er forsinket med højst fire dage. Før vi kommer til bunden af problemet, skal vi imidlertid nævne, at hændelsen ikke virkelig er så forfærdelig.
Table of Contents
Ikke det største krænkelse i verden
Comodo offentliggjorde en kort sikkerhedsmeddelelse, der sagde, at den 29. september fik ukendte hackere adgang til en database, der indeholdt informationerne fra dens forumbrugere. Der blev potentielt fået adgang til i alt 245 tusind poster, der hver indeholdt et navn, en e-mail-adresse, brugerens seneste IP-adresse og en "krypteret" adgangskode.
I lyset af andre nylige sikkerhedshændelser kan nogle blive fristet til at klassificere denne særlige krænkelse som ubetydelig. Mængden af data, der blev sat i fare, er faktisk ikke så enorm, og selvom meddelelsen er lidt sparsom med detaljer, er der få grunde til at tro, at nogen særlig følsom information er blevet udsat.
Når det er sagt, er den faktiske mekanisme for indbruddet en grund til bekymring, fordi den viser, at et genkendeligt navn i cybersikkerhedsbranchen ikke har oprettet en opdateringspolitik, der kan holde det (og dets brugere) sikkert.
En patchet vBulletin-sårbarhed var i bunden af dataovertrædelsen
Den 23. september afslørede en anonym sikkerhedsforsker offentligt en tidligere ukendt sikkerhedssårbarhed i den femte version af vBulletin, et populært internetforumsoftware skrevet i PHP. Sporet som CVE-2019-16759 er fejlen temmelig skræmmende af nogle få meget gode grunde.
For det første, selvom det blev mærket "en nul-dages sårbarhed", vidste nogle mennesker om det, længe før det blev offentliggjort. Som registeret rapporterede på det tidspunkt, sagde eksperter, at der havde været udbytter på det underjordiske marked i årevis. Med andre ord har cyberkriminelle relativt let adgang til den kode, der kan kompromittere tusinder af vBulletin-fora.
Derudover er angrebet ikke særlig svært at trække af. Udnyttelse af hullet involverer et par linjer med Python-kode, der er lagt i en HTTP POST-anmodning. Disse linjer er nu offentligt tilgængelige.
Sidst men ikke mindst betyder det faktum, at CVE-2019-16759 er en ekstern kodeudførelsesfejl, at det giver hackere chancen for at gøre mere eller mindre hvad de vil efter en vellykket udnyttelse.
Fordi fejlen er så farlig, sammensætter vBulletins udviklere en patch temmelig hurtigt. Den 25. september, fire dage før angrebet mod Comodo, blev rettelser for alle sårbare versioner frigivet, og sikkerhedseksperter opfordrede alle til at installere programrettelserne som et presserende spørgsmål. Comodo var ikke opmærksom, og resultaterne er nu tydelige. Virksomheden lovede at oprette og følge en streng opdateringspolitik fra nu af, og brugerne kan kun håbe, at de holder ord. De kan også håbe, at næste gang den har at gøre med en sikkerhedshændelse, er dens meddelelser lidt klarere.
Comodo forårsager en vis forvirring med sin meddelelse om brud på data
Meddelelsen om brud på data blev offentliggjort på https://forums.comodo.com/ (de fora, der er dedikeret til Comodo og dets produkter), og de 425 tusind poster, der er nævnt i det, hører til folk, der brugte det pågældende forum. Moderatoren, der offentliggjorde denne meddelelse, forsøgte ikke at skjule det faktum, at angriberen udnyttede CVE-2019-16759 for at stjæle dataene, og dette efterlod ganske mange mennesker forvirrede. Som nogle brugere hurtigt påpegede , er https://forums.comodo.com/ bygget med Simple Machines Forum, et andet internetopslagstavelsoftware, der ikke har noget at gøre med vBulletin.
Moderatorerne måtte derefter forklare, at angriberen faktisk hacket https://forum.itarian.com/ , et andet forum, der ejes af Comodo og er bygget på vBulletin. Da https://forum.itarian.com/ og https://forums.comodo.com/ er vært på den samme server, fik hackerne adgang til ikke en, men to databaser. Den fulde af https://forum.itarian.com/ brugere havde tilsyneladende godt 45.000 mennesker i sig.
Selv med den anden database er overtrædelsen ikke særlig forfærdelig. Når det er sagt, udsætter det en uheldig sandhed om den aktuelle cybersikkerhed. Ligesom den voldsomme genbrug af adgangskode blandt sikkerhedseksperter viser denne hændelse, at selv fagfolk ikke er villige til at stole på deres egne råd og følge de mest grundlæggende af sikkerhedsprincipper.
