Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.
Před dvěma týdny byla zveřejněna informace o závažné zranitelnosti (CVE-2020–15227) populárního webového PHP frameworku Nette, která může potenciálnímu útočníkovi umožnit tzv. vzdálené spuštění kódu (remote code execution), což je jeden z nejrizikovějších typů zranitelností a může vést až k převzetí kontroly nad serverem. Protože se tato zranitelnost nachází právě v kódu samotného frameworku, který je hojně využiván při tvorbě webových stránek, dotýká se tato zranitelnost opravdu velkého množství webů.
V současné chvíli se nám podařilo skrze data získaná DNS crawlerem identifikovat přes 36 tisíc českých domén, na kterých je dostupný web postaven na Nette frameworku. Bohužel však z těchto dat není možné zjistit konkrétní verzi frameworku. Je tedy velmi pravděpodobné, že ne všech 36 tisíc webů je zranitelností ohroženo a mnohé již byly aktualizovány na některou z opravených verzí. Nicméně z naší zkušenosti víme, že tyto webové technologie obvykle nebývají z různých důvodů pravidelně aktualizovány, někdy i mnoho let. V současnosti tak diskutujeme možnosti identifikace konkrétních webů, které jsou zmíněnou zranitelností ohroženy a možnosti oslovení jejich vlastníků.
týkát > týkat
Dobrý den a děkujeme za upozornění.
Už je to správně.
Promiňte.
VS
Dobrý den
Jaké jsou praktické příklady zneužití webového serveru?
V tomto případě nedochází přímo ke zneužití chyby webového serveru (tedy typicky např. Apache či Nginx) ale chyby v PHP souborech zmíněné knihovny Nette. Zranitelnost umožňuje útočníkovi vykonávat příkazy přímo v operačním systému, na kterém je webový server provozován. Tento typ zranitelnosti je nerizikovějším právě proto, že útočníkovi umožní velmi široké spektrum možných zneužití. Například se může jednat o nahrání phishingových stránek do nějaké podčásti webu. Dalšími příklady může být vykradení databáze či nahrání škodlivého programu, který na serveru vytvoří další „zadní vrátka“ pro útočníka pro případ, že je zranitelnost opravena. Může se také jednat o program, který bude těžit kryptoměny nebo provádět DDoS útoky na jiné oběti. Kompromitovaný server může také otevřít útočníkovi cestu do vnitřní sítě firmy, která by jinak nebyla z Internetu přístupná. Odhalením konfiguračních nedostatků nebo jiných zranitelných programů na serveru může útočník získat práva administrátora, což mu umožní na serveru dělat v podstatě cokoliv.
Hodně záleží na odhodlání a schopnostech útočníka a dalších bezpečnostních opatřeních, které na serveru a v dané síti jsou. U takto široce rozšířených a snadno zneužitelných zranitelností se nejčastěji setkáme s automatizovaným zneužitím, kdy řada útočníků skenuje Internet a jakmile narazí na zranitelný web, tak automatizovaně zkusí nějakým způsobem server zneužít (např. ke zmíněnému nahrání phishingových stránek) a když se jim to nepodaří, tak zkusí jiný cíl.
K doménam máte kontakty a vlastníkov – aký bol problém im poslať správu/dopis/e-mail a varovať ich? I keď by neboli dotknutý, stále je lepšie dostať „false“ varovanie ako nič …