A Comodo fórumát feltörték, miután a vállalat nem alkalmazza a biztonsági javítást időben
Ezen oldalakon gyakran azt kell mondanunk, hogy mennyire fontosak a szoftverfrissítések, nemcsak az új szolgáltatások és a teljesítményjavítások, hanem a biztonsági javítások miatt is. Hétfőn a Comodo, amely ironikus módon biztonsági társaság, beszámolt nekünk arról, hogy mi történhet, ha az említett javítások legfeljebb négy nappal késnek. Mielőtt azonban a probléma mélyére megérkeznénk, meg kell említeni, hogy az esemény valójában nem annyira szörnyű.
Table of Contents
Nem a legnagyobb megsértés a világon
A Comodo rövid biztonsági értesítést tett közzé, amely szerint szeptember 29-én ismeretlen hackerek hozzáfértek egy adatbázishoz, amely a fórum felhasználói adatait tartalmazza. Összesen 245 ezer rekordot lehetett elérni, mindegyik tartalmazott egy nevet, e-mail címet, a felhasználó legújabb IP-címét és egy "titkosított" jelszót.
Más nemrégiben bekövetkezett biztonsági események fényében egyeseknek megkísérlik a figyelmet arra, hogy ezt a jogsértést jelentéktelennek minősítsék. Valójában a veszélyeztetett adatmennyiség nem olyan hatalmas, és bár az értesítés kissé kevés részlettel rendelkezik, kevés oka van azt feltételezni, hogy valamely különösen érzékeny információt felfedtek.
Mindezek ellenére a behatolás tényleges mechanizmusa aggodalomra ad okot, mivel ez azt mutatja, hogy a kiberbiztonsági iparágban egy felismerhető név nem állított fel olyan frissítési irányelvet, amely biztonságban tudja tartani azt (és annak felhasználóit).
A javított vBulletin biztonsági rés az adatsértés alján volt
Szeptember 23-án egy névtelen biztonsági kutató nyilvánosságra hozott egy korábban ismeretlen biztonsági rést a vPulletin, a PHP-ben írt népszerű internetes fórumszoftver ötödik verziójában. A CVE-2019-16759 néven ismertetett hiba néhány nagyon jó ok miatt meglehetősen ijesztő.
Először is, bár "nulla napos sebezhetőség" címkével szerepelt, néhány ember régóta tudta róla, hogy nyilvánosságra hozták. Ahogyan a The Register akkoriban számolt be, a szakértők azt állították, hogy a kizsákmányolások évek óta voltak a föld alatti piacon. Más szavakkal: a számítógépes bűnözők viszonylag könnyen hozzáférnek a kódhoz, amely veszélybe sodorta a vBulletin fórumok ezreit.
Ezen túlmenően a támadás nem különösebben nehéz elhúzódni. A lyuk kihasználása néhány sor Python-kódot tartalmaz egy HTTP POST kérésben. Ezek a sorok már nyilvánosan elérhetők.
Végül, de nem utolsósorban az a tény, hogy a CVE-2019-16759 távoli kódfuttatással kapcsolatos hiba, azt jelenti, hogy a hackerek számára lehetőséget ad arra, hogy a sikeres kizsákmányolás után többé-kevésbé tegyék meg, amit akarnak.
Mivel a hiba annyira veszélyes, a vBulletin fejlesztői meglehetősen gyorsan összeállítottak egy javítást. Szeptember 25-én, négy nappal a Comodo elleni támadás előtt, minden sérülékeny verzió javítását kiadták, és a biztonsági szakértők sürgetve sürgettek mindenkit, hogy telepítsék a javításokat. A Comodo nem figyelt, és az eredmények most nyilvánvalóak. A cég megígérte, hogy mostantól szigorú frissítési irányelveket fog létrehozni és követni fogja, és a felhasználók csak remélhetik, hogy megtartják a szavát. Remélhetik azt is, hogy amikor legközelebb biztonsági eseményekkel kell foglalkozniuk, észrevételeik egy kicsit világosabbá válnak.
A Comodo némi zavart okoz az adat megsértéséről szóló értesítéssel
Az adatvédelemről szóló értesítést a https://forums.comodo.com/ oldalon (a Comodóra és annak termékeire dedikált fórumokon) tették közzé, és a benne említett 425 ezer rekord az emberek számára tartozik, akik az adott fórumot használják. Az értesítést közzétett moderátor nem próbálta elrejteni azt a tényt, hogy a támadók a CVE-2019-16759-et kizsákmányolták az adatok ellopása érdekében, és ez sok ember megbotránkozását okozta. Amint néhány felhasználó gyorsan rámutatott, a https://forums.comodo.com/ az Egyszerű Machines Fórummal van építve, egy másik internetes üzenőfal szoftver, amelynek semmi köze nincs a vBulletin-hoz.
A moderátoroknak aztán el kellett magyarázniuk, hogy a támadók valójában feltörték a https://forum.itarian.com/ webhelyet, egy másik fórumot, amely a Comodo tulajdonában áll és a vBulletinre épül. Mivel a https://forum.itarian.com/ és a https://forums.comodo.com/ ugyanazon a szerveren található, a hackerek nem csak egy, hanem két adatbázishoz fértek hozzá. A https://forum.itarian.com/ felhasználókkal teli webhelyen nyilvánvalóan alig több mint 45 ezer ember volt benne.
A megsértés még a második adatbázis esetén sem különösebben szörnyű. Ennek ellenére sajnálatos igazságot derít ki a kiberbiztonság jelenlegi helyzetéről. Csakúgy, mint a biztonsági szakemberek körében a rohamos jelszó újrafelhasználása, ez az eset azt is mutatja, hogy még a szakemberek sem hajlandóak bízni a saját tanácsukban, és a biztonsági alapelvek legalapvetõbb követését követik el.