上周,CMS Drupal开发人员立即关闭了(这则
新闻 ,
有关其网站的更多详细信息)两个关键漏洞。 这两个问题都会影响Drupal版本7.x和8.x。 在内置电子邮件发送系统(DefaultMailSystem :: mail())中发现了最严重的漏洞。 您可以通过以下方式使用它:处理消息时,可以执行任意代码。 原因是,像往常一样,缺少对多个变量的正确验证。
第二个漏洞是在“上下文链接”模块中发现的-它使您无需进入控制面板即可修改网页的元素。 缺少对在执行此类请求期间传递的参数的验证也会导致代码执行。 的确,与第一个漏洞不同,只有在攻击者已经有权编辑站点的情况下,此漏洞才会被利用。
这样的消息通常不会被消化:好,发现,好封闭,做得好! 但是,每年至少一次,值得一看的是最受欢迎的内容管理系统,并在将来了解安全性如何发展。 是否存在CMS版本的碎片,例如类似于Android平台的碎片? 安全性是否如此糟糕?例如,在那些物联网设备行业中,它们似乎根本不是物联网设备,而是路由器和摄像头? 让我们看看。
首先,您需要了解要看的地方。 有关使用特定CMS的足够详细的信息,可提供
Web技术调查 。 该资源的作者定期扫描Internet上访问量最大的1000万个站点(根据Alexa服务评级),并分析所使用的内容管理系统。 可以
在此页面上查看研究的总体结果,这里是那里的图表:
好吧,首先,无法获得有关46.1%站点的CMS的信息,更确切地说,没有使用该服务可以可靠识别的任何系统。 在确定CMS的网站中,无可争议的领导者是Wordpress(一种Android CMS市场)。 Joomla和Drupal占据了第二和第三名,它们之间有很大的滞后性,然后在Top10中,主要有一些服务可以为那些需要更轻松,更快速地服务的人提供在自己的平台上创建最终网站的服务。 Joomla,Drupal和Wordpress一起安装在使用CMS的68.8%的站点中,或在研究的1000万中的所有站点中安装了37.2%。
在CMS选择级别上,碎片化已经很明显:Wordpress是明显的领导者,但由于某种原因,它仅安装在三分之一的在线资源上,而一半的站点通常都可以正常工作。 也许那里的管理员仍然沮丧地通过老式FTP下载静态HTML。 很难从这种多样性中得出结论:一方面,碎片化使攻击者的生活变得复杂,另一方面-没有人真正了解大约一半互联网的安全状况。 在密码学中,自写加密算法早就等同于锐利的耙齿。 网站管理应该有什么不同吗?
让我们看看三种最受欢迎的CMS的版本分布。 这是Wordpress的发行版。 w3techs每天都会更新他们的报告,因此信息应该是最新的。
甚至有点无聊。 让我们看一下当前版本4.x的详细信息:
截至发布日期,略超过70%的Wordpress网站使用的是最新版本(不包括对主版本的定期更新)。 当然,这比Android发行版更令人愉快,Android的当前版本8.x被19.2%的设备使用,但没有我们想要的那么多。
有什么需要担心的吗? 让我们看一下Wordpress
版本的
历史 。 4.9版于2017年11月15日发布,也就是说,将近一年的Wordpress 4.8和更早的版本已过时。 从4.9版开始,至少有四个CMS更新旨在修复漏洞。 尽管在过去的一年中没有绝对关键的错误,但是每个错误的严重性是更详细研究的主题。 不过,在某些情况下,7月
发行的 4.9.7
版本关闭了该漏洞,允许您删除Uploads文件夹之外的文件。
让我们看看上周的英雄-CMS Drupal的表现如何。
这样的事情。 通常使用Drupal的网站中有11.8%使用了最新版本的Drupal8.x。 最受欢迎的是以前的版本(公平地说,我们注意到-受支持)7.x。 W3techs没有提供主要分支内特定版本的详细信息,因此假设每个人都已经更新(当然,这是一个大胆的假设)。 无论如何,几乎10%的Drupal站点都使用不受支持的4.x – 6.x版本。
CMS Joomla的情况如下:
最新版本的Joomla 3.8.13已于10月9日发布。 您可以在这么短的时间内看到有多少个站点已更新为最新版本。
分支机构所有用户的14.1%3.8。 占所有Joomla用户的5.8%是能够在13天内将网站升级到最新版本的用户。 如果您不按时更新CMS,将会有什么后果? 我将回到Wordpress的示例,因为它既是最受欢迎的,也是最受黑客攻击的Web内容管理系统。 因此,(突然)有关针对恶意活动的实际劫持站点的消息在大多数情况下不是提到主要的Wordpress代码,而是提及其插件。
例如,去年有关真正遭到攻击的插件的
新闻 ,包括Flickr Gallery插件。 2017年12月,Wordpress
阻止了另外三个插件-所有插件都由创建者出售,新所有者在其中实现了后门功能。 这是
对使用插件的另一种
分析,这些插件长期被开发人员所抛弃,存在严重漏洞,并且仍在数百个站点上使用。
这不只是关于插件。 反复提到,暴力破解密码是攻击Wordpress网站的一种有效方法(例如,
here和
here )。 这个问题也超出了Wordpress开发人员的能力。 网站管理员和用户(而不是开发人员)的任务是使暴力破解变得复杂而不使用最简单的密码。
成功入侵网站后会怎样? 上面,我指的是有关安装矿工的新闻,尽管大多数典型的恶意脚本都出现在站点上。 今年夏天发生了一个重要案例:7月份,CoinDash交易平台被作为ICO的一部分在筹款期间被
黑了。 没有报道该站点被黑客攻击的确切方式,它不一定是Wordpress中的漏洞。 但是结果很明显:在从特权参与者那里收集资金的第一阶段,他们只是更改了用于转移资金的钱包号码,结果攻击者获得了770万美元等值的加密货币。 关于Reddit的
讨论很有趣:在紧急情况下制作静态页面会更可靠吗? 哦,不确定哪个更可靠。
根据此小型研究的结果,出现了一个明确的问题:是否真的有必要更新CMS代码,如果并非始终存在关键漏洞,站点通常会通过插件或什至通过密码暴力被黑客入侵? 与
路由器一样 ,一套措施带来了实实在在的好处:更新CMS,修改已安装插件的列表并定期更新真正必要的插件,更改管理URL,强密码,多因素身份验证以及用户审核。 网站安全(以及其他任何方面)是一个过程,而不是结果。
将待办事项列表添加到待办事项列表并不难。 如果您的站点是由第三方组织管理的,那么单独讨论定期安装更新的问题将不是多余的。 如果您曾经“设置过一个网站”,此后在没有任何支持的情况下“可以正常使用”,那么您就遇到了问题。 正如我们今天所看到的,甚至没有人在更新代码时使用如此简单的措施来增强网站的安全性。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。