Comodos forum blir hacket etter at selskapet ikke klarer å bruke en sikkerhetsoppdatering i tide
Vi får ofte si på disse sidene hvor viktige programvareoppdateringer er, ikke bare på grunn av de nye funksjonene og ytelsesforbedringene, men også på grunn av sikkerhetsoppdateringene. Mandag ga Comodo, som ironisk nok er et sikkerhetsselskap, en historie som illustrerer hva som kan skje når de nevnte lappene blir forsinket med ikke mer enn fire dager. Før vi kommer til bunns i problemet, bør vi imidlertid nevne at hendelsen egentlig ikke er så grufull.
Table of Contents
Ikke verdens største brudd
Comodo publiserte en kort sikkerhetsvarsel der den sa at 29. september fikk ukjente hackere tilgang til en database som inneholdt informasjonen til forumets brukere. Totalt 245 000 poster var potensielt tilgjengelige, hvor hver inneholder et navn, en e-postadresse, brukerens siste IP-adresse og et "kryptert" passord.
I lys av andre nylige sikkerhetshendelser kan noen bli fristet til å klassifisere dette bruddet som ubetydelig. Mengden data som ble utsatt for risiko er ikke så stor, og selv om varselet er litt sparsomt med detaljer, er det få grunner til å tro at noe spesielt sensitiv informasjon har blitt utsatt.
Når det er sagt, er den faktiske mekanismen for innbruddet grunn til bekymring, fordi den viser at et gjenkjennelig navn i cybersecurity-bransjen ikke har klart å sette opp en oppdateringspolicy som kan holde den (og dens brukere) trygg.
En oppdatert vBulletin-sårbarhet var nederst i datainnbruddet
23. september avslørte en anonym sikkerhetsforsker et tidligere ukjent sikkerhetssårbarhet offentlig i den femte versjonen av vBulletin, et populært programvare for internettforum skrevet i PHP. Sporet som CVE-2019-16759, er feilen ganske skummel av noen få gode grunner.
For det første, selv om det ble merket "en nulldagers sårbarhet", visste noen om det lenge før det ble offentliggjort. Som registeret rapporterte den gang, sa eksperter at utnyttelse hadde vært på det underjordiske markedet i mange år. Med andre ord, nettkriminelle har relativt enkel tilgang til koden som kan kompromittere tusenvis av vBulletin-fora.
I tillegg til dette er ikke angrepet spesielt vanskelig å trekke av. Å utnytte hullet innebærer noen få linjer med Python-kode satt i en HTTP POST-forespørsel. Disse linjene er nå offentlig tilgjengelige.
Sist men ikke minst betyr det at CVE-2019-16759 er en ekstern kodekjøringsfeil at det gir hackere sjansen til å gjøre mer eller mindre hva de vil etter en vellykket utnyttelse.
Fordi feilen er så farlig, har vBulletins utviklere satt sammen en oppdatering ganske raskt. 25. september, fire dager før angrepet mot Comodo, ble rettelser for alle sårbare versjoner frigitt, og sikkerhetseksperter oppfordret alle til å installere lappene som en hastesak. Comodo ga ingen oppmerksomhet, og resultatene er nå tydelige. Selskapet lovet å opprette og følge en streng oppdateringspolicy fra nå av, og brukerne kan bare håpe at de holder ordet. De kan også håpe at neste gang den har å gjøre med en sikkerhetshendelse, er merknadene litt tydeligere.
Comodo forårsaker litt forvirring med varselet om brudd på data
Varselet om brudd på data ble publisert på https://forums.comodo.com/ (forumene som er dedikert til Comodo og dets produkter), og de 425 000 postene som er nevnt i det tilhører folk som brukte det aktuelle forumet. Moderatoren som publiserte kunngjøringen gjorde ikke noe forsøk på å skjule det faktum at angriperne utnyttet CVE-2019-16759 for å stjele dataene, og dette etterlot ganske mange forvirrede. Som noen brukere raskt påpekte, er https://forums.comodo.com/ bygget med Simple Machines Forum, en annen programvare for Internett-meldingstavler som ikke har noe med vBulletin å gjøre.
Moderatorene måtte da forklare at angriperne faktisk hacket https://forum.itarian.com/, et annet forum som eies av Comodo og er bygget på vBulletin. Siden https://forum.itarian.com/ og https://forums.comodo.com/ er hostet på samme server, fikk hackerne tilgang til ikke en, men to databaser. Den som var full av https://forum.itarian.com/ brukere hadde tilsynelatende drøyt 45 tusen mennesker i seg.
Selv med den andre databasen er bruddet ikke spesielt grufullt. Når det er sagt, utsetter det en uheldig sannhet om den nåværende cybersikkerhetstilstanden. Akkurat som gjenbruk av passord blant sikkerhetseksperter, viser denne hendelsen at selv de profesjonelle ikke er villige til å stole på sine egne råd og følge de mest grunnleggende sikkerhetsprinsippene.
