Forum Comodo zostaje zhakowane po tym, jak firma nie chce wprowadzić poprawki bezpieczeństwa na czas
Często na tych stronach mówimy, jak ważne są aktualizacje oprogramowania, nie tylko z powodu nowych funkcji i ulepszeń wydajności, ale także z powodu łatek bezpieczeństwa. W poniedziałek Comodo, która, jak na ironię, jest firmą ochroniarską, opowiedziała nam, co może się stać, gdy wspomniane łaty zostaną opóźnione o nie więcej niż cztery dni. Zanim jednak przejdziemy do sedna problemu, powinniśmy wspomnieć, że incydent nie jest tak przerażający.
Table of Contents
Nie największe naruszenie na świecie
Comodo opublikowało krótkie powiadomienie o bezpieczeństwie, w którym informowało, że 29 września nieznani hakerzy uzyskali dostęp do bazy danych zawierającej informacje o użytkownikach forum. Potencjalnie uzyskano dostęp do 245 tysięcy rekordów, z których każdy zawiera imię i nazwisko, adres e-mail, najnowszy adres IP użytkownika oraz „zaszyfrowane” hasło.
W świetle innych niedawnych incydentów bezpieczeństwa niektórzy mogą ulec pokusie sklasyfikowania tego konkretnego naruszenia jako nieistotnego. Rzeczywiście, ilość danych, które zostały narażone na ryzyko, nie jest aż tak duża, i chociaż zawiadomienie zawiera nieco mało szczegółowych informacji, istnieje niewiele powodów, by sądzić, że ujawniono wszelkie szczególnie wrażliwe informacje.
Biorąc to pod uwagę, faktyczny mechanizm włamania jest powodem do niepokoju, ponieważ pokazuje, że rozpoznawalna nazwa w branży bezpieczeństwa cybernetycznego nie ustanowiła polityki aktualizacji, która może zapewnić bezpieczeństwo (i jej użytkownikom).
Poprawiona luka w vBulletin znajdowała się na dole naruszenia bezpieczeństwa danych
23 września anonimowy badacz bezpieczeństwa publicznie ujawnił nieznaną wcześniej lukę w zabezpieczeniach w piątej wersji vBulletin, popularnego oprogramowania forum internetowego napisanego w PHP. Wykryty jako CVE-2019-16759, wada jest raczej przerażająca z kilku bardzo dobrych powodów.
Po pierwsze, chociaż nazwano go „luką zero-day”, niektórzy wiedzieli o tym na długo przed upublicznieniem. Jak informował wówczas Rejestr, eksperci twierdzili, że exploity istnieją na rynku podziemnym od lat. Innymi słowy, cyberprzestępcy mają stosunkowo łatwy dostęp do kodu, który może zagrozić tysiącom forów vBulletin.
Ponadto atak nie jest szczególnie trudny do przeprowadzenia. Wykorzystanie dziury wymaga kilku wierszy kodu Pythona umieszczonych w żądaniu HTTP POST. Te linie są teraz publicznie dostępne.
Wreszcie fakt, że CVE-2019-16759 jest błędem zdalnego wykonania kodu, oznacza, że daje hakerom szansę zrobienia mniej więcej tego, co chcą po udanym wykorzystaniu.
Ponieważ błąd jest tak niebezpieczny, programiści vBulletin dość szybko zebrali łatkę. 25 września, cztery dni przed atakiem na Comodo, wydano poprawki dla wszystkich wrażliwych wersji, a eksperci ds. Bezpieczeństwa namawiali wszystkich do pilnego instalowania łat. Comodo nie zwracał uwagi, a wyniki są teraz widoczne. Firma obiecała, że odtąd stworzy ścisłe zasady aktualizacji, a użytkownicy mogą mieć tylko nadzieję, że dotrzymają słowa. Mogą też mieć nadzieję, że następnym razem, gdy zajmie się incydentem związanym z bezpieczeństwem, jego uwagi będą nieco jaśniejsze.
Comodo powoduje pewne zamieszanie związane z powiadomieniem o naruszeniu danych
Powiadomienie o naruszeniu danych zostało opublikowane na stronie https://forums.comodo.com/ (fora poświęcone Comodo i jego produktom), a 425 tysięcy wspomnianych w nim rekordów należy do osób, które korzystały z tego forum. Moderator publikujący zawiadomienie nie próbował ukryć faktu, że napastnicy wykorzystali CVE-2019-16759 w celu kradzieży danych, co spowodowało, że sporo osób było zakłopotanych. Jak szybko zauważyli niektórzy użytkownicy, https://forums.comodo.com/ jest zbudowany w oparciu o Simple Machines Forum, kolejne internetowe forum dyskusyjne, które nie ma nic wspólnego z vBulletin.
Moderatorzy musieli następnie wyjaśnić, że osoby atakujące faktycznie zhakowały https://forum.itarian.com/, inne forum, które jest własnością Comodo i jest oparte na vBulletin. Ponieważ https://forum.itarian.com/ i https://forums.comodo.com/ są hostowane na tym samym serwerze, hakerzy uzyskali dostęp do nie jednej, ale dwóch baz danych. Ten pełen https://forum.itarian.com/ użytkowników najwyraźniej miał w nim nieco ponad 45 tysięcy osób.
Nawet w przypadku drugiej bazy danych naruszenie nie jest szczególnie przerażające. To powiedziawszy, ujawnia niefortunną prawdę o obecnym stanie cyberbezpieczeństwa. Podobnie jak powszechne ponowne wykorzystywanie hasła przez ekspertów ds. Bezpieczeństwa, incydent ten pokazuje, że nawet profesjonaliści nie są skłonni zaufać własnym radom i stosować się do najbardziej podstawowych zasad bezpieczeństwa.
