Množičen napad na slovenske spletne strani, izdelane v Joomli!

Odprtokodni sistem za upravljanje vsebin Joomla (CMS) je med slovenskimi upravljavci spletnih strani izjemno priljubljen, saj gre za zelo zmogljivo orodje za izdelavo spletnih strani in je eden izmed najzmogljivejših sistemov za upravljanje s spletnimi vsebinami na svetu. Zaradi njegove priljubljenosti je sistem Joomla kakopak zelo privlačen tudi za spletne napadalce, ki se množično zanimajo predvsem za tiste portale, ki že dalj časa niso bili posodobljeni. V težavah niso le lastniki omenjenih ranljivih spletnih strani, pač pa tudi ponudniki gostovanj in posledično tudi vse ostale gostujoče spletne strani, kar se odraža v vedno bolj pogostih izpadih spletnih strani po Sloveniji in/ali v počasnejšem delovanju spletnih strani. Na to težavo že dlje časa opozarjajo tudi strokovnjaki slovenskega Centra za posredovanje pri internetnih incidentih (SI-CERT), ki je pri nas pristojen za posredovanje pri internetnih incidentih ter koordinira obveščanje in reševanje varnostnih problemov v računalniških omrežjih.

Kriminalci obožujejo neposodobljene Joomla CMS portale

Strokovnjaki Centra za posredovanje pri internetnih incidenti so nas opozorili, da so bili tarča lanskoletnih decembrskih napadov predvsem neposodobljeni Joomla CMS portali. Napadalci so preko javno znanih ranljivosti na strežnike odlagali svojo kodo, ki jim je nato omogočala tako UDP napade s poplavo podatkov kot tudi izvrševanje poljubne kode, ki so jih strežniku posredovali prek tako imenovane HTTP POST metode. Ranljivi strežnik je nato izvedel vse njihove zlonamerne ukaze, ki so bili v okviru pravic vloge dodeljenega uporabnika spletnega strežnika. Število tovrstno zlorabljenih spletnih strani se po podatkih SI-CERT-a trenutno giblje okoli 100. Natančen opis napada s poplavo podatkov z izrabo ranljivosti Joomla CMS in priporočila za odpravo ranljivosti so na voljo na spletni strani SI-CERT-a, in sicer na spletnem naslovu http://goo.gl/wSMD4.

WordPress CMS portali niso imuni na spletne napade

Z vidika varnostni niso problematični le Joomla CMS portali, ki niso posodobljeni in imajo pomanjkljivo implementacijo DNS protokola (http://goo.gl/7sJWb), ampak tudi WordPress CMS portali. Tu pa se napadalci osredotočajo predvsem na šibka gesla uporabnikov. Nepridipravi dostop do portala pridobijo bodisi z ugibanjem gesel (na primer ime znane osebe) bodisi s surovim napadom (t.i. brute-force dictionary attack) preko namenskih programskih oprem. Obramba pred tovrstnimi napadi je nadvse enostavna, saj zadošča, da izberemo varno geslo (vsaj 16 znakov in tri različne znake) in da ne uporabljamo privzetih uporabniških imen (na primer admin).

Razobličenje spletnih portalov kot posledica slabe zaščite

Slovenski Center za posredovanje pri internetnih incidentih (SI-CERT) vse bolj pogosto beleži tudi tako imenovana razobličenja (ang. Website Defacement) ranljivih CMS portalov, in sicer bodisi kot posledico odkrite znane programske ranljivosti, bodisi kot posledico zlorabe uredniškega dostopa. Tovrstno obliko zlorabe mesečno prijavi od 200 do 300 lastnikov portalov CMS. Več informacij o razobličenju ranljivih CMS portalov pa je na voljo na spletnem naslovu http://goo.gl/VBHTw.

Kako zaščititi spletne portale pred kriminalci?

Strokovnjaki slovenskega Centra za posredovanje pri internetnih incidentih upravljavcem spletnih portalov svetujejo, da naj redno posodabljajo svoje spletne portale in da pri njihovi postavitvi vedno upoštevajo varnostna priporočila za izbrane platforme, kot so na primer uporaba nestandardnih uporabniških imen, izbira neobičajnih namestitvenih map, uporaba namenskih vtičnikov, ki zaznavajo napake, in podobno. S temi enostavnimi ukrepi bodo namreč spletnim kriminalcem precej otežili delo in portal obvarovali pred najhujšim.

Število zlorab iz leta v leto večje

Kako pomembna je zaščita spletnih portalov prikazuje tudi statistika obravnave incidentov s strani slovenskega Centra za posredovanje pri internetnih incidentih med leti 2008 in 2012. Ta namreč kaže na to, da se število napadov na spletne portale povečuje. Ta trend naj bi se pričakovano nadaljeval tudi letos.

Letno skupno število obravnavanih incidentov: 2008 (325), 2009 (334), 2010 (478), 2011 (762), 2012 (1250*).

*V letu 2012 je SI-CERT v kategorizacijo uvedel nekaj novih vrst incidentov, kot sta na primer razobličenje in napad na aplikacijo (prej vodeno pod zloraba storitve ali vdor v sistem).