Το Φόρουμ του Comodo παίρνει Hacked Μετά την εταιρεία δεν μπορεί να εφαρμόσει μια ενημερωμένη έκδοση κώδικα ασφαλείας στο χρόνο
Συχνά λέμε σε αυτές τις σελίδες πόσο σημαντικές είναι οι ενημερώσεις λογισμικού, όχι μόνο λόγω των νέων δυνατοτήτων και βελτιώσεων της απόδοσης, αλλά και λόγω των ενημερωμένων εκδόσεων ασφαλείας. Τη Δευτέρα, η Comodo, η οποία, ειρωνικά, είναι μια εταιρεία ασφάλειας, μας έδωσε μια ιστορία που δείχνει τι θα μπορούσε να συμβεί όταν τα εν λόγω μπαλώματα καθυστερούν το πολύ τέσσερις ημέρες. Πριν φθάσουμε στο κατώτατο σημείο του προβλήματος, ωστόσο, πρέπει να αναφέρουμε ότι το περιστατικό δεν είναι πραγματικά τόσο φρικτό.
Table of Contents
Δεν είναι η μεγαλύτερη παραβίαση στον κόσμο
Ο Comodo δημοσίευσε μια σύντομη ειδοποίηση ασφαλείας λέγοντας ότι στις 29 Σεπτεμβρίου, άγνωστοι χάκερ απέκτησαν πρόσβαση σε μια βάση δεδομένων που περιείχε τις πληροφορίες των χρηστών του φόρουμ. Ένα σύνολο 245.000 εγγραφών ήταν δυνητικά προσβάσιμο, με το καθένα να περιέχει ένα όνομα, μια διεύθυνση ηλεκτρονικού ταχυδρομείου, την πιο πρόσφατη διεύθυνση IP του χρήστη και έναν "κρυπτογραφημένο" κωδικό πρόσβασης.
Υπό το πρίσμα άλλων πρόσφατων περιστατικών ασφάλειας, ορισμένοι ενδέχεται να μπουν στον πειρασμό να χαρακτηρίσουν τη συγκεκριμένη παραβίαση ως ασήμαντη. Πράγματι, το ποσό των δεδομένων που τίθενται σε κίνδυνο δεν είναι τόσο τεράστιο, και παρόλο που η ανακοίνωση είναι λίγο λεπτομερής σχετικά με τις λεπτομέρειες, υπάρχουν λίγοι λόγοι να πιστεύουμε ότι έχουν αποκαλυφθεί οποιεσδήποτε ιδιαίτερα ευαίσθητες πληροφορίες.
Τούτου λεχθέντος, ο πραγματικός μηχανισμός της διείσδυσης είναι ένας λόγος ανησυχίας, διότι δείχνει ότι ένα αναγνωρίσιμο όνομα στον τομέα της ασφάλειας στον κυβερνοχώρο δεν κατάφερε να δημιουργήσει μια πολιτική επικαιροποίησης που να μπορεί να κρατήσει την ασφάλεια (και τους χρήστες της) ασφαλής.
Ένα patched vBulletin ευπάθεια ήταν στο κάτω μέρος της παραβίασης των δεδομένων
Στις 23 Σεπτεμβρίου, ένας ανώνυμος ερευνητής ασφάλειας αποκάλυψε δημοσίως ένα προηγουμένως άγνωστο ευπάθεια ασφαλείας στην πέμπτη έκδοση του vBulletin, ένα δημοφιλές λογισμικό διαδικτυακού φόρουμ γραμμένο στην PHP. Παρακολουθείστε ως CVE-2019-16759, το ελάττωμα είναι αρκετά τρομακτικό για λίγους πολύ καλούς λόγους.
Πρώτον, αν και χαρακτηριζόταν ως "ευαίσθητο σε μηδενική ημέρα", κάποιοι γνώριζαν πολύ πριν από τη δημοσιοποίησή του. Όπως αναφέρει το Μητρώο εκείνη την εποχή, οι εμπειρογνώμονες λένε ότι τα εκμεταλλεύματα βρίσκονταν στην υπόγεια αγορά εδώ και χρόνια. Με άλλα λόγια, οι κυβερνοεγκληματίες έχουν σχετικά εύκολη πρόσβαση στον κώδικα που μπορεί να θέσει σε κίνδυνο χιλιάδες φόρουμ vBulletin.
Εκτός αυτού, η επίθεση δεν είναι ιδιαίτερα δύσκολο να τραβηχτεί. Η εκμετάλλευση της τρύπας περιλαμβάνει μερικές γραμμές κώδικα της Python που τέθηκαν σε αίτηση HTTP POST. Αυτές οι γραμμές είναι πλέον διαθέσιμες στο κοινό.
Τελευταίο αλλά όχι λιγότερο σημαντικό, το γεγονός ότι το CVE-2019-16759 είναι ένα απομακρυσμένο σφάλμα εκτέλεσης κώδικα σημαίνει ότι δίνει στους χάκερς την ευκαιρία να κάνουν περισσότερα ή λιγότερα όσα θέλουν μετά από μια επιτυχημένη εκμετάλλευση.
Επειδή το σφάλμα είναι τόσο επικίνδυνο, οι προγραμματιστές του vBulletin έχουν βάλει μαζί ένα patch μάλλον γρήγορα. Στις 25 Σεπτεμβρίου, τέσσερις ημέρες πριν από την επίθεση κατά της Comodo, διορθώθηκαν οι διορθώσεις για όλες τις ευάλωτες εκδοχές και οι ειδικοί ασφαλείας ζήτησαν από όλους να εγκαταστήσουν τα επεισόδια επειγόντως. Ο Comodo δεν έδωσε προσοχή και τα αποτελέσματα είναι πλέον εμφανή. Η εταιρεία υποσχέθηκε να δημιουργήσει και να ακολουθήσει μια αυστηρή πολιτική ενημέρωσης από δω και πέρα, και οι χρήστες μπορούν μόνο να ελπίζουν ότι θα κρατήσει το λόγο της. Μπορούν επίσης να ελπίζουν ότι την επόμενη φορά που θα αντιμετωπίσει ένα περιστατικό ασφάλειας, οι ειδοποιήσεις του είναι λίγο πιο σαφείς.
Το Comodo προκαλεί κάποια σύγχυση με την ειδοποίηση παραβίασης των δεδομένων
Η ανακοίνωση για την παραβίαση δεδομένων δημοσιεύθηκε στη διεύθυνση https://forums.comodo.com/ (τα φόρουμ αφιερωμένα στο Comodo και τα προϊόντα του) και τα 425.000 αρχεία που αναφέρονται σε αυτό ανήκουν σε άτομα που χρησιμοποίησαν το συγκεκριμένο φόρουμ. Ο συντονιστής που δημοσίευσε την ειδοποίηση δεν έκανε καμία προσπάθεια να κρύψει το γεγονός ότι οι εισβολείς εκμεταλλεύτηκαν το CVE-2019-16759 για να κλέψουν τα δεδομένα και αυτό άφησε πολλούς ανθρώπους αμηχανία. Όπως κάποιοι χρήστες επεσήμανε γρήγορα, το https://forums.comodo.com/ είναι χτισμένο με το Simple Machines Forum, ένα άλλο λογισμικό του board board που δεν έχει καμία σχέση με το vBulletin.
Στη συνέχεια, οι συντονιστές έπρεπε να εξηγήσουν ότι οι επιτιθέμενοι μάλιστα hacked https://forum.itarian.com/, ένα διαφορετικό φόρουμ που ανήκει στο Comodo και είναι χτισμένο στο vBulletin. Δεδομένου ότι οι χρήστες https://forum.itarian.com/ και https://forums.comodo.com/ φιλοξενούνται στον ίδιο διακομιστή, οι χάκερ έχουν πρόσβαση σε μία και όχι σε δύο βάσεις δεδομένων. Ο ένας πλήρης των https://forum.itarian.com/ χρήστες προφανώς είχε πάνω από 45 χιλιάδες ανθρώπους σε αυτό.
Ακόμη και με τη δεύτερη βάση δεδομένων, η παραβίαση δεν είναι ιδιαίτερα τρομακτική. Τούτου λεχθέντος, εκθέτει μια ατυχή αλήθεια σχετικά με την τρέχουσα κατάσταση της ασφάλειας στον κυβερνοχώρο. Ακριβώς όπως η αχαλίνωτη επαναχρησιμοποίηση του κωδικού πρόσβασης μεταξύ των εμπειρογνωμόνων ασφαλείας, το περιστατικό αυτό δείχνει ότι ακόμη και οι επαγγελματίες δεν είναι πρόθυμοι να εμπιστευτούν τις συμβουλές τους και να ακολουθήσουν τις πιο βασικές αρχές ασφαλείας.
