Форум Comodo был взломан после того, как компании не удалось вовремя применить исправление безопасности
На этих страницах мы часто говорим о важности обновлений программного обеспечения не только из-за новых функций и улучшений производительности, но и из-за исправлений безопасности. В понедельник Comodo, которая, по иронии судьбы, является охранной компанией, рассказала нам историю, которая может показать, что может произойти, если указанные исправления будут отложены не более чем на четыре дня. Прежде чем мы перейдем к сути проблемы, мы должны упомянуть, что инцидент на самом деле не такой уж ужасный.
Table of Contents
Не самое большое нарушение в мире
Comodo опубликовал короткое уведомление о безопасности, в котором говорится, что 29 сентября неизвестные хакеры получили доступ к базе данных, содержащей информацию о пользователях форума. В общей сложности было потенциально доступно 245 тысяч записей, каждая из которых содержала имя, адрес электронной почты, последний IP-адрес пользователя и «зашифрованный» пароль.
В свете других недавних инцидентов, связанных с безопасностью, у некоторых может возникнуть соблазн классифицировать это конкретное нарушение как незначительное. Действительно, количество данных, которые подверглись риску, не так уж велико, и, хотя в уведомлении немного разрозненных деталей, есть несколько причин полагать, что какая-либо особо конфиденциальная информация была раскрыта.
При этом фактический механизм взлома является причиной для беспокойства, поскольку он показывает, что узнаваемое имя в отрасли кибербезопасности не смогло установить политику обновления, которая может обеспечить его (и его пользователей) безопасность.
Исправленная уязвимость vBulletin была причиной взлома данных
23 сентября анонимный исследователь безопасности обнародовал ранее неизвестную уязвимость безопасности в пятой версии vBulletin, популярного программного обеспечения для форумов, написанного на PHP. Отслеживается как CVE-2019-16759, недостаток довольно страшный по нескольким очень веским причинам.
Во-первых, хотя он был назван «уязвимость нулевого дня», некоторые люди знали об этом задолго до того, как он был обнародован. Как сообщал «Регистр» в то время, эксперты говорили, что эксплойты были на подземном рынке годами. Другими словами, киберпреступники имеют относительно легкий доступ к коду, который может поставить под угрозу тысячи форумов vBulletin.
В дополнение к этому, атака не особенно трудна, чтобы осуществить. Использование дыры включает в себя несколько строк кода Python, помещенных в запрос HTTP POST. Эти строки теперь общедоступны.
Наконец, что немаловажно, тот факт, что CVE-2019-16759 является ошибкой удаленного выполнения кода, означает, что он дает хакерам возможность делать более или менее все, что они хотят после успешного использования.
Поскольку ошибка настолько опасна, разработчики vBulletin довольно быстро создали патч. 25 сентября, за четыре дня до атаки на Comodo, были выпущены исправления для всех уязвимых версий, и эксперты по безопасности призвали всех в срочном порядке установить исправления. Comodo не обращал внимания, и результаты теперь очевидны. Компания пообещала создать и соблюдать строгую политику обновлений, и пользователи могут только надеяться, что она сдержит свое слово. Они также могут надеяться, что в следующий раз, когда ему придется иметь дело с инцидентом безопасности, его уведомления будут немного яснее.
Comodo вызывает путаницу с уведомлением о нарушении данных
Уведомление о нарушении данных было опубликовано на https://forums.comodo.com/ (форумы, посвященные Comodo и его продуктам), и упомянутые в нем 425 тысяч записей принадлежат людям, которые использовали этот конкретный форум. Модератор, опубликовавший уведомление, не пытался скрыть тот факт, что злоумышленники использовали CVE-2019-16759 для кражи данных, и это вызвало недоумение у многих людей. Как быстро отметили некоторые пользователи, https://forums.comodo.com/ создан с Simple Machines Forum, другим программным обеспечением для доски объявлений в Интернете, которое не имеет ничего общего с vBulletin.
Затем модераторам пришлось объяснить, что злоумышленники взломали https://forum.itar.com/, другой форум, который принадлежит Comodo и основан на vBulletin. Поскольку https://forum.itar.com/ и https://forums.comodo.com/ размещены на одном сервере, хакеры получили доступ не к одной, а к двум базам данных. В одном из пользователей https://forum.itar.com/, по-видимому, было чуть более 45 тысяч человек.
Даже со второй базой данных, нарушение не особенно ужасно. Тем не менее, это разоблачает досадную правду о текущем состоянии кибербезопасности. Этот инцидент, как и повсеместное повторное использование паролей среди экспертов по безопасности, показывает, что даже профессионалы не хотят доверять своим собственным советам и следовать самым основным принципам безопасности.
