„Comodo“ forumas nulaužtas po to, kai įmonė laiku netaiko saugos pataisos
Šiuose puslapiuose dažnai sakome, kokie svarbūs programinės įrangos atnaujinimai ne tik dėl naujų funkcijų ir našumo patobulinimų, bet ir dėl saugos pataisų. Pirmadienį „Comodo“, kuri, kaip bebūtų keista, yra apsaugos įmonė, mums papasakojo istoriją, iliustruojančią, kas gali nutikti, kai minėti pataisai atidedami ne daugiau kaip keturiomis dienomis. Tačiau prieš pradėdami spręsti problemą, turėtume paminėti, kad įvykis iš tikrųjų nėra toks siaubingas.
Table of Contents
Ne pats didžiausias pažeidimas pasaulyje
„Comodo“ paskelbė trumpą saugumo pranešimą, kuriame teigė, kad rugsėjo 29 d. Nežinomi įsilaužėliai gavo prieigą prie duomenų bazės, kurioje buvo jos forumo vartotojų informacija. Iš viso buvo galima pasiekti 245 tūkst. Įrašų, kurių kiekviename yra vardas, el. Pašto adresas, vartotojo naujausias IP adresas ir „užšifruotas“ slaptažodis.
Atsižvelgiant į kitus naujausius saugumo įvykius, kai kuriems gali kilti pagunda šį pažeidimą pripažinti nereikšmingu. Iš tikrųjų duomenų, kuriems buvo pakenkta, kiekis nėra toks didelis ir, nors pranešime yra mažai informacijos, yra keletas priežasčių manyti, kad bet kokia ypač neskelbtina informacija buvo paviešinta.
Atsižvelgiant į tai, tikrasis įsilaužimo mechanizmas kelia susirūpinimą, nes tai rodo, kad atpažįstamas vardas kibernetinio saugumo pramonėje nesugebėjo sukurti atnaujinimo strategijos, kuri užtikrintų jo (ir jo vartotojų) saugumą.
Pataisytas „vBulletin“ pažeidžiamumas buvo duomenų pažeidimo pabaigoje
Rugsėjo 23 d. Anoniminis saugumo tyrinėtojas viešai paskelbė apie anksčiau nežinomą saugos pažeidžiamumą populiariojo interneto forumo programinės įrangos „vBulletin“, parašytos PHP, penktojoje versijoje. Stebėtas kaip CVE-2019-16759, trūkumas yra gana baisus dėl kelių labai gerų priežasčių.
Pirma, nors ji buvo pažymėta kaip „nulinės dienos pažeidžiamumas“, kai kurie žmonės apie tai žinojo dar ilgai, kol ji nebuvo paviešinta. Kaip tuo metu pranešė „The Register“, ekspertai teigė, kad išnaudojimai metro rinkoje buvo vykdomi daugelį metų. Kitaip tariant, elektroniniai nusikaltėliai turi palyginti lengvą prieigą prie kodo, kuris gali pakenkti tūkstančiams „vBulletin“ forumų.
Be to, ataka nėra ypač sunki. Skylės išnaudojimas apima kelias Python kodo eilutes, įvestas į HTTP POST užklausą. Šios eilutės dabar yra viešai prieinamos.
Galiausiai, tai, kad CVE-2019-16759 yra nuotolinio kodo vykdymo klaida, reiškia, kad ji suteikia įsilaužėliams galimybę padaryti daugiau ar mažiau viską, ko jie nori po sėkmingo išnaudojimo.
Kadangi klaida yra tokia pavojinga, „vBulletin“ kūrėjai gana greitai surinko pataisą. Rugsėjo 25 d., Likus keturioms dienoms iki išpuolio prieš „Comodo“, buvo paleisti visų pažeidžiamų versijų pataisymai, o saugumo ekspertai paragino visus skubiai įdiegti pataisas. „Comodo“ nekreipė dėmesio, o rezultatai dabar akivaizdūs. Bendrovė pažadėjo nuo šiol sukurti ir laikytis griežtos atnaujinimo politikos, o vartotojai gali tik tikėtis, kad laikysis savo žodžio. Jie taip pat gali tikėtis, kad kitą kartą susidūrus su saugumo įvykiu, jos pastebėjimai bus šiek tiek aiškesni.
„Comodo“ kelia tam tikrą painiavą su pranešimu apie duomenų pažeidimą
Pranešimas apie duomenų pažeidimą buvo paskelbtas https://forums.comodo.com/ (forumuose, skirtuose „Comodo“ ir jo gaminiams), o jame paminėti 425 tūkstančiai įrašų priklauso žmonėms, kurie naudojosi tuo konkrečiu forumu. Pranešimą paskelbęs moderatorius nebandė slėpti fakto, kad užpuolikai, norėdami pavogti duomenis, išnaudojo CVE-2019-16759, o tai paliko daugybę žmonių pasipiktinimą. Kaip kai kurie vartotojai greitai atkreipė dėmesį, https://forums.comodo.com/ yra sukurtas naudojant „Simple Machines Forum“ - dar vieną interneto pranešimų lentos programinę įrangą, kuri neturi nieko bendra su „vBulletin“.
Tada moderatoriai turėjo paaiškinti, kad užpuolikai iš tikrųjų nulaužė https://forum.itarian.com/, kitą forumą, kuris priklauso „Comodo“ ir yra pastatytas ant „vBulletin“. Kadangi https://forum.itarian.com/ ir https://forums.comodo.com/ yra talpinami tame pačiame serveryje, įsilaužėliai turėjo prieigą prie ne vienos, o dviejų duomenų bazių. Čia pilna https://forum.itarian.com/ vartotojų, matyt, turėjo kiek daugiau nei 45 tūkstančius žmonių.
Net turint antrąją duomenų bazę, pažeidimas nėra ypač siaubingas. Vis dėlto ji atskleidžia apgailėtiną tiesą apie dabartinę kibernetinio saugumo būklę. Šis incidentas, kaip ir pakartotinis slaptažodžių pakartotinis panaudojimas saugumo ekspertų tarpe, rodo, kad net profesionalai nenori pasitikėti savo patarimais ir laikytis pačių pagrindinių saugumo principų.