Letzte Woche haben CMS Drupal-Entwickler (die
Nachrichten , weitere Details
auf ihrer Website ) zwei kritische Sicherheitslücken gleichzeitig geschlossen. Beide Probleme betreffen die Drupal-Versionen 7.x und 8.x. Die schwerwiegendste Sicherheitsanfälligkeit wurde im integrierten E-Mail-Sendesystem (DefaultMailSystem :: mail ()) entdeckt. Sie können es so verwenden, dass bei der Verarbeitung einer Nachricht beliebiger Code ausgeführt werden kann. Der Grund dafür ist wie üblich das Fehlen einer ordnungsgemäßen Überprüfung einer Reihe von Variablen.
Die zweite Sicherheitsanfälligkeit wurde im Modul "Kontextbezogene Links" entdeckt. Sie können die Elemente von Webseiten ändern, ohne zur Systemsteuerung zu wechseln. Eine fehlende Überprüfung der Parameter, die während der Ausführung einer solchen Anforderung übergeben werden, kann ebenfalls zur Codeausführung führen. Im Gegensatz zur ersten Sicherheitsanfälligkeit wird dies nur ausgenutzt, wenn der Angreifer bereits das Recht hat, die Site zu bearbeiten.
Solche Nachrichten fallen normalerweise nicht in die Verdauung: gut gefunden, gut geschlossen, gut gemacht! Mindestens einmal im Jahr lohnt es sich jedoch, einen Blick auf die beliebtesten Content-Management-Systeme zu werfen und in Zukunft zu verstehen, wie die Sicherheit läuft. Gibt es eine Fragmentierung von CMS-Versionen, die beispielsweise der Fragmentierung der Android-Plattform ähnelt? Ist die Sicherheit so schlecht, wie zum Beispiel in der Branche der IoT-Geräte, bei denen es sich überhaupt nicht um IoT-Geräte handelt, sondern um Router und Kameras? Mal sehen.
Zuerst müssen Sie verstehen, wo Sie suchen müssen. Ausreichend detaillierte Informationen zur Verwendung eines bestimmten CMS bieten
Web Technology Surveys . Die Autoren der Ressource scannen regelmäßig die 10 Millionen am häufigsten besuchten Websites im Internet (gemäß Alexa-Servicebewertung) und analysieren die verwendeten Content-Management-Systeme. Die allgemeinen Ergebnisse der Studie können
auf dieser Seite eingesehen werden. Hier ist eine Grafik von dort:
Erstens war es für 46,1% der Websites nicht möglich, Informationen über CMS zu erhalten. Genauer gesagt, es wird keines der Systeme verwendet, die dieser Dienst zuverlässig identifizieren kann. Unter den Websites, auf denen das CMS ermittelt wurde, ist Wordpress, eine Art Android-CMS-Markt, der unbestrittene Marktführer. Die Plätze zwei und drei mit einer erheblichen Verzögerung belegen Joomla und Drupal. In den Top 10 gibt es hauptsächlich Dienste, die die Erstellung einer fertigen Site auf ihrer eigenen Plattform für diejenigen anbieten, die es einfacher und schneller brauchen. Zusammen werden Joomla, Drupal und Wordpress auf 68,8% der Standorte mit bekanntem CMS installiert, oder 37,2% aller von 10 Millionen untersuchten Standorten.
Fragmentierung ist bereits auf der CMS-Auswahlstufe erkennbar: Wordpress ist eindeutig führend, wird jedoch nur auf einem Drittel der Online-Ressourcen installiert, und die Hälfte der Websites im Allgemeinen funktioniert aus irgendeinem Grund. Vielleicht lädt dort ein düsterer Administrator noch statisches HTML über FTP der alten Schule herunter. Es ist schwierig, aus dieser Vielfalt Schlussfolgerungen zu ziehen: Einerseits erschwert die Fragmentierung das Leben des Angreifers, andererseits weiß niemand wirklich, wie die Sicherheit von etwa der Hälfte des Internets ist. In der Kryptographie werden selbstgeschriebene Verschlüsselungsalgorithmen seit langem mit geschärftem Rechen gleichgesetzt. Sollte das Webmanagement anders sein?
Schauen wir uns die Verteilung der Versionen für die drei beliebtesten CMS an. Hier ist die Distribution für Wordpress. w3techs aktualisieren ihre Berichte täglich, sodass die Informationen voraussichtlich auf dem neuesten Stand sind.
Irgendwie sogar langweilig. Schauen wir uns die Details der aktuellen Version 4.x an:
Etwas mehr als 70% der Wordpress-Websites verwenden (zum Veröffentlichungsdatum) die aktuellste Version (ausgenommen regelmäßige Updates der Hauptversion). Dies ist natürlich eine angenehmere Distribution als Android, wo die aktuelle Version 8.x
von 19,2% der Geräte verwendet wird, aber nicht so oft, wie wir möchten.
Gibt es etwas zu befürchten? Schauen wir uns die
Geschichte der Wordpress-
Versionen an . Version 4.9 wurde am 15. November 2017 veröffentlicht, dh seit fast einem Jahr sind Wordpress 4.8 und frühere Versionen veraltet. Seit Version 4.9 zielen mindestens vier CMS-Updates darauf ab, Schwachstellen zu beheben. Wie ernst das Risiko für jeden von ihnen ist, ist Gegenstand einer detaillierteren Studie, obwohl es im letzten Jahr keine absolut kritischen Fehler gegeben hat. In der Juli-
Version 4.9.7 wird die Sicherheitsanfälligkeit jedoch unter bestimmten Bedingungen geschlossen, sodass Sie Dateien außerhalb des Uploads-Ordners löschen können.
Mal sehen, wie es dem Helden der letzten Woche - CMS Drupal - geht.
Solche Dinge. Die neueste Version von Drupal 8.x wird von 11,8% der Websites verwendet, die im Allgemeinen Drupal verwenden. Am beliebtesten ist die vorherige (fairerweise, wie wir bemerken - unterstützte) Version 7.x. W3techs bietet keine Details zu bestimmten Releases innerhalb des Hauptzweigs. Nehmen wir also an, dass alle bereits aktualisiert wurden (dies ist natürlich eine kühne Annahme). In jedem Fall verwenden fast 10% der Drupal-Websites nicht unterstützte Versionen 4.x - 6.x.
Die Situation für CMS Joomla ist wie folgt:
Die aktuelle Version von Joomla 3.8.13 wurde kürzlich veröffentlicht - am 9. Oktober. Sie können sehen, wie viele Websites in so kurzer Zeit auf die neueste Version aktualisiert wurden.
14,1% aller Nutzer der Branche 3.8. Oder 5,8% aller Joomla-Benutzer sind diejenigen, die es geschafft haben, die Website innerhalb von 13 Tagen auf die neueste Version zu aktualisieren. Was sind die Konsequenzen, wenn Sie das CMS nicht rechtzeitig aktualisieren? Ich werde auf die Beispiele für Wordpress zurückkommen, da dies sowohl das beliebteste als auch das am meisten gehackte Web-Content-Management-System ist. In Nachrichten über die praktische Entführung von Websites wegen böswilliger Aktivitäten wird (plötzlich) nicht der Hauptcode von Wordpress, sondern dessen Plugins erwähnt.
Zum Beispiel die
Nachrichten des letzten Jahres über wirklich angegriffene Plugins, einschließlich zum Beispiel des Flickr Gallery-Plugins. Im Dezember 2017
blockierte Wordpress drei weitere Plugins - alle wurden von den Entwicklern verkauft und die neuen Eigentümer haben Backdoors in sie implementiert. Hier ist eine weitere
Analyse der Verwendung von Plugins, die von Entwicklern seit langem aufgegeben wurden, kritische Schwachstellen aufweisen und immer noch auf Hunderten von Websites verwendet werden.
Und es geht nicht nur um Plugins. Wiederholt wird ein Bruteforce-Passwort als Arbeitsmethode für den Angriff auf Wordpress-Sites erwähnt (z. B.
hier und
hier ). Und dieses Problem geht auch über die Möglichkeiten von Wordpress-Entwicklern hinaus. Bruteforce zu komplizieren und nicht die einfachsten Passwörter zu verwenden, ist Aufgabe des Administrators und der Benutzer von Websites, nicht der Entwickler.
Was passiert, wenn eine Site erfolgreich gehackt wird? Oben beziehe ich mich auf die Nachrichten über die Installation von Minern, obwohl auf Websites meistens klassische bösartige Skripte erscheinen. In diesem Sommer ereignete sich ein bedeutender Fall: Im Juli wurde die CoinDash-Handelsplattform im Rahmen des ICO direkt während des Fundraising
gehackt . Wie genau die Site gehackt wurde, wird nicht gemeldet, es könnte nicht unbedingt eine Sicherheitslücke in Wordpress sein. Das Ergebnis ist jedoch offensichtlich: In der ersten Phase des Sammelns von Geldern von privilegierten Teilnehmern auf der Website haben sie einfach die Brieftaschennummer für die Überweisung von Geldern geändert, wodurch 7,7 Millionen Dollar an Kryptowährungsäquivalenten an die Angreifer gingen. Zu Reddit gibt es eine interessante
Diskussion : Wird es in kritischen Fällen nicht zuverlässiger sein, eine statische Seite zu erstellen? Oh, nicht sicher, was zuverlässiger ist.
Basierend auf den Ergebnissen dieser Ministudie stellt sich eine klare Frage: Ist es wirklich notwendig, den CMS-Code zu aktualisieren, wenn kritische Schwachstellen nicht immer verfügbar sind, Websites häufig über Plugins oder sogar durch Brute Force mit Passwörtern gehackt werden? Wie bei
Routern bietet eine Reihe von Maßnahmen echte Vorteile: Aktualisierung des CMS, Überarbeitung der Liste der installierten Plugins und regelmäßige Aktualisierung der wirklich erforderlichen Plugins, Änderung der Administrator-URL, sichere Kennwörter, Multi-Faktor-Authentifizierung und nur Benutzerüberwachung. Die Sicherheit der Website (und alles andere) ist ein Prozess, kein Ergebnis.
Zur To-Do-Liste hinzufügen ist eine regelmäßige Überprüfung der CMS-Version nicht so schwierig. Wenn Ihre Site von einer Drittanbieterorganisation verwaltet wird, ist es nicht überflüssig, das Problem der regelmäßigen Installation von Updates separat zu erörtern. Wenn Sie einmal eine Site eingerichtet haben und diese seitdem ohne Unterstützung "funktioniert", haben Sie Probleme. Wie wir heute gesehen haben, verwendet nicht jeder eine so einfache Maßnahme, um die Sicherheit einer Website zu verbessern, wie das Aktualisieren eines Codes.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.