Il forum di Comodo viene violato dopo che l'azienda non è riuscita ad applicare una patch di sicurezza in tempo
Spesso in queste pagine possiamo dire quanto siano importanti gli aggiornamenti software, non solo per le nuove funzionalità e miglioramenti delle prestazioni, ma anche per le patch di sicurezza. Lunedì, Comodo, che, ironia della sorte, è una società di sicurezza, ci ha dato una storia che illustra cosa potrebbe accadere quando le suddette patch vengono ritardate di non più di quattro giorni. Prima di arrivare al fondo del problema, tuttavia, dovremmo menzionare che l'incidente non è poi così orribile.
Table of Contents
Non è la più grande breccia al mondo
Comodo ha pubblicato un breve avviso di sicurezza affermando che il 29 settembre hacker sconosciuti hanno ottenuto l'accesso a un database che conteneva le informazioni dei suoi utenti del forum. È stato possibile accedere a un totale di 245 mila record, ciascuno contenente un nome, un indirizzo e-mail, l'indirizzo IP più recente dell'utente e una password "crittografata".
Alla luce di altri recenti incidenti di sicurezza, alcuni potrebbero essere tentati di classificare questa particolare violazione come insignificante. In effetti, la quantità di dati che è stata messa a rischio non è così grande, e sebbene l'avviso sia un po 'scarso sui dettagli, ci sono pochi motivi per ritenere che siano state esposte informazioni particolarmente sensibili.
Detto questo, l'attuale meccanismo di irruzione è motivo di preoccupazione, poiché mostra che un nome riconoscibile nel settore della sicurezza informatica non è riuscito a stabilire una politica di aggiornamento che possa mantenerlo sicuro (e i suoi utenti).
Una vulnerabilità di vBulletin con patch era in fondo alla violazione dei dati
Il 23 settembre, un ricercatore di sicurezza anonimo ha rivelato pubblicamente una vulnerabilità di sicurezza precedentemente sconosciuta nella quinta versione di vBulletin, un popolare software per forum Internet scritto in PHP. Tracciato come CVE-2019-16759, il difetto è piuttosto spaventoso per alcune ottime ragioni.
In primo luogo, anche se è stato etichettato come "vulnerabilità zero-day", alcune persone lo sapevano molto prima che fosse reso pubblico. Come riportava The Register all'epoca, gli esperti affermavano che gli exploit erano presenti sul mercato sotterraneo da anni. In altre parole, i criminali informatici hanno un accesso relativamente semplice al codice che può compromettere migliaia di forum vBulletin.
Inoltre, l'attacco non è particolarmente difficile da attuare. Lo sfruttamento del buco comporta alcune righe di codice Python inserite in una richiesta POST HTTP. Tali linee sono ora disponibili al pubblico.
Ultimo ma non meno importante, il fatto che CVE-2019-16759 sia un bug di esecuzione di codice remoto significa che offre agli hacker la possibilità di fare più o meno tutto ciò che vogliono dopo un exploit riuscito.
Poiché il bug è così pericoloso, gli sviluppatori di vBulletin hanno creato una patch piuttosto rapidamente. Il 25 settembre, quattro giorni prima dell'attacco contro Comodo, sono state rilasciate correzioni per tutte le versioni vulnerabili e gli esperti di sicurezza hanno invitato tutti a installare le patch con urgenza. Comodo non stava prestando attenzione e i risultati sono ora evidenti. La società ha promesso di creare e seguire una rigorosa politica di aggiornamento da ora in poi, e gli utenti possono solo sperare che manterrà la parola. Possono anche sperare che la prossima volta che dovrà affrontare un incidente di sicurezza, le sue comunicazioni siano un po 'più chiare.
Comodo crea confusione con la sua comunicazione sulla violazione dei dati
L'avviso di violazione dei dati è stato pubblicato su https://forums.comodo.com/ (i forum dedicati a Comodo e ai suoi prodotti) e i 425 mila documenti citati in esso appartengono a persone che hanno utilizzato quel particolare forum. Il moderatore che pubblica l'avviso non ha fatto alcun tentativo di nascondere il fatto che gli aggressori hanno sfruttato CVE-2019-16759 per rubare i dati, e questo ha lasciato parecchie persone perplesse. Come alcuni utenti hanno rapidamente sottolineato, https://forums.comodo.com/ è realizzato con Simple Machines Forum, un altro software di bacheca di messaggi Internet che non ha nulla a che fare con vBulletin.
I moderatori hanno poi dovuto spiegare che gli aggressori hanno effettivamente hackerato https://forum.itarian.com/, un forum diverso di proprietà di Comodo e basato su vBulletin. Poiché https://forum.itarian.com/ e https://forums.comodo.com/ sono ospitati sullo stesso server, gli hacker hanno avuto accesso a non uno ma due database. A quanto pare, quello pieno di utenti https://forum.itarian.com/ aveva poco più di 45 mila persone.
Anche con il secondo database, la violazione non è particolarmente orribile. Detto questo, espone una sfortunata verità sullo stato attuale della sicurezza informatica. Proprio come il riutilizzo della password dilagante tra gli esperti di sicurezza, questo incidente dimostra che anche i professionisti non sono disposti a fidarsi dei propri consigli e a seguire i più elementari principi di sicurezza.
