Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja