Comodos forum blir hackat efter att företaget inte lyckats tillämpa en säkerhetsuppdatering i tid
Vi får ofta säga på dessa sidor hur viktiga programuppdateringar är, inte bara på grund av de nya funktionerna och prestandaförbättringarna, utan också på grund av säkerhetsfixerna. På måndag gav Comodo, som ironiskt nog är ett säkerhetsföretag, en berättelse som illustrerar vad som kan hända när de nämnda lapparna försenas med högst fyra dagar. Innan vi kommer till botten av problemet bör vi emellertid nämna att händelsen egentligen inte är så hemsk.
Table of Contents
Inte världens största brott
Comodo publicerade ett kort säkerhetsmeddelande som säger att den 29 september fick okända hackare tillgång till en databas som innehöll informationen från dess forumanvändare. Totalt var 245 tusen poster tillgängliga, var och en med ett namn, en e-postadress, användarens senaste IP-adress och ett "krypterat" lösenord.
I ljuset av andra säkerhetshändelser som nyligen inträffat kan vissa bli frestade att klassificera just detta brott som obetydligt. Faktum är att mängden data som riskerades inte är så enorm, och även om meddelandet är lite gles på detaljer, finns det få skäl att tro att någon särskilt känslig information har blivit utsatt.
Med det sagt är den faktiska mekanismen för inbrottet en anledning till oro, eftersom den visar att ett igenkännbart namn inom cybersecurity-industrin inte har skapat en uppdateringspolicy som kan hålla den (och dess användare) säker.
En korrigerad vBulletin-sårbarhet låg längst ner i dataöverträdelsen
Den 23 september avslöjade en anonym säkerhetsforskare ett tidigare okänt säkerhetsproblem i den femte versionen av vBulletin, ett populärt program för internetforum skrivet i PHP. Spårad som CVE-2019-16759 är bristen ganska skrämmande av några mycket goda skäl.
Först, även om det betecknades "en nolldagars sårbarhet", visste vissa människor om det långt innan det offentliggjordes. Som registret rapporterade vid den tiden, sa experter att exploater hade funnits på den underjordiska marknaden i flera år. Med andra ord, cyberbrottslingar har relativt enkel åtkomst till koden som kan äventyra tusentals vBulletin-forum.
Utöver detta är attacken inte särskilt svår att dra av. Att utnyttja hålet innebär några rader med Python-kod som läggs i en HTTP POST-begäran. Dessa rader är nu offentligt tillgängliga.
Sist men inte minst, det faktum att CVE-2019-16759 är ett exekveringsfel för fjärrkod innebär att det ger hackare chansen att göra mer eller mindre vad de vill efter en framgångsrik exploatering.
Eftersom felet är så farligt, samlar vBulletins utvecklare en patch ganska snabbt. Den 25 september, fyra dagar före attacken mot Comodo, släpptes korrigeringar för alla sårbara versioner, och säkerhetsexperter uppmanade alla att installera lapparna som en brådskande fråga. Comodo var inte uppmärksam och resultaten är nu tydliga. Företaget lovade att skapa och följa en strikt uppdateringspolicy från och med nu, och användare kan bara hoppas att det kommer att hålla sitt ord. De kan också hoppas att nästa gång den har att göra med en säkerhetshändelse är meddelandena lite tydligare.
Comodo orsakar viss förvirring med meddelandet om överträdelse av data
Meddelandet om överträdelse av data publicerades på https://forums.comodo.com/ (forumen tillägnad Comodo och dess produkter), och de 425 tusen poster som nämns i det tillhör personer som använde det specifika forumet. Moderatoren som publicerade meddelandet gjorde inget försök att dölja det faktum att angriparna utnyttjade CVE-2019-16759 för att stjäla uppgifterna, och detta lämnade ganska många förvirrade. Som vissa användare snabbt påpekade är https://forums.comodo.com/ byggt med Simple Machines Forum, en annan programvara för Internet-anslagstavlor som inte har något att göra med vBulletin.
Moderatorerna var tvungna att förklara att angriparna faktiskt hackade https://forum.itarian.com/, ett annat forum som ägs av Comodo och är byggt på vBulletin. Eftersom https://forum.itarian.com/ och https://forums.comodo.com/ är värd på samma server, fick hackarna tillgång till inte en utan två databaser. Den fulla av https://forum.itarian.com/-användare hade tydligen drygt 45 tusen människor i sig.
Även med den andra databasen är överträdelsen inte särskilt hemskt. Som sagt, det utsätter en olycklig sanning om det nuvarande cybersäkerhetsläget. Precis som den övergripande lösenordsanvändningen bland säkerhetsexperter visar denna incident att även proffsen inte är villiga att lita på sina egna råd och följa de mest grundläggande säkerhetsprinciperna.
