Wbrew obiegowej opinii, to nie serwery jako takie padają łupem hackerów czy domorosłych włamywaczy, a strony internetowe oraz błędy i luki w zainstalowanych na nich aplikacjach (np. dodatki do Wordpressa).

Jak strona WWW staje się wodopojem

W internecie działa wiele katalogów z tzw. exploitami (podatność na ataki), które prezentują listy aplikacji wraz z opisem krok po kroku, jak wykonać atak na daną aplikację. Tak wykonany atak może umożliwiać np. zalogowania się do aplikacji jako administrator (np. jako super użytkownik do Twojego sklepu lub bloga) - co w rezultacie daje pełną kontrolę nad wgraniem jakiegokolwiek kodu na Twój serwer i serwowania wraz z Twoją stroną innego złośliwego kodu lub dodawania linków do np. sklepów oferujących nielegalne leki lub link do stron z nielegalną pornografią.

Jeżeli chciałbyś poczytać o podatnościach do ataków na systemy Wordpress, zapraszam na stronę: https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/

Dużo tego prawda? Katalogi exploitów w głównej mierze mają służyć programistom i twórcom aplikacji jako baza ostrzegająca przed niebezpieczeństwem i ew. zmuszać do szybszej reakcji w łataniu dziur. Niestety wiadomo, że każdy kij ma dwa końce, tak też jest i w tej sytuacji.

Taka baza, to bar mleczny dla każdego hackera. Gdzie za darmo może pozyskać informację o najłatwiejszych do zhackowania stronach www - a przynajmniej informacji, kogo ma szukać (np. sklepów opartych na skrypcie XYZ).

Moja wersja aplikacja była podatna na atak opisany CVE-.....

O takich sytuacjach najczęściej w pierwszej kolejności dowiaduję się firma hostingowa, która obserwuje bardzo duże wykorzystanie zasobów lub podczas skanowania - odnajduje delikwentów i reaguje tak jak może.

Zanim jednak do tego dojdzie zhackowana strona staje się tzw. wodopojem dla strony, która dokonała ataku. Złamana strona umożliwia także atakowanie odwiedzających, których aplikacje (przeglądarki, wtyczki Flash, Java itp.) są podatne na inne exploity, np. poniżej opisane podatności ataków dla przeglądarki Internet Explorer:

https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-9900/Microsoft-Internet-Explorer.html

Podatność na ataki oprogramowania zainstalowanego bezpośrednio na Twoim urządzeniu jest już bardzo niebezpieczne nie tylko dla innych, ale głównie dla Ciebie. Przejęcie kontroli nad Twoim komputerem, umożliwia wykonanie praktycznie każdej czynności:

  • wykorzystania twojego telefonu/komputera do ataków np. na inne komputery czy instytucje (włamania do banków)
  • wgranie nielegalnych materiałów na Twoje urządzenie celem kompromitacji Twojej firmy lub osoby
  • zakodowanie lub usunięcie Twoich plików pod groźbą okupu.

Strona rządowa i uczelnie wyższe zarażały polskie komputery

Exatel przeprowadził studium przypadku zarażenia wielu polskich internautów przez ransomware o nazwie Mole, który na zarażonych stronach wykorzystuje luki bezpieczeństw w przeglądarkach Internet Explorer (IE9, 10 i 11) oraz we wtyczce Flash w wersji poniżej 20.0.0.28 (sprawdź czy nie korzystałeś z tych wersji oprogramowania).

Celem robaka było zakodowanie komputerów użytkowników, korzystających z wymienionego oprogramowania, a następnie wymuszenie na nich okupu. O podobnym przypadku pisaliśmy już 2 lata temu:

https://hostit.pl/blog/518,sylwester-nie-dla-hackerow-czyli-readme-for-decrypt-txt.html

Wśród wodopojów, czyli stron, które atakowały odwiedzających znajdowały się strony WWW należące do

  • jedna domena gov.pl (strona rządowa)
  • gmin i powiatów
  • posła na Sejm RP
  • szkół wyższych, średnich oraz podstawowych
  • ZHP, zgromadzeń zakonnych i instytucji charytatywnych
  • kancelarii prawniczych
  • hoteli
  • for społecznościowych
  • firm projektujących strony WWW i świadczących usługi informatycznych

Szczególną uwagę należy zwrócić na pierwsze i ostatnie pozycję na liście. Ponieważ zarówno strony około rządowe, podlegające pod nadzór administracji oraz firmy informatyczne, powinny być szczególnie przygotowane i zabezpieczone pod kątem takich ataków.

Nie jest dobrze - korzystacie ze starych wersji aplikacji

Niestety, także nasze prywatne obserwacje potwierdziły, że strony polskich posłów, senatorów
oraz firm tworzących strony internetowe - padły lub padały w przeszłości często łupem włamywaczy. O ile w przypadku firm tworzących strony WWW jest ich dość dużo, można by powiedzieć, że uogólniamy, to w przypadku posłów na sejm czy senat RP w ciągu kilku ostatnich lat zanotowaliśmy kilka takich przypadków.

Cały raport jest szczegółowo opisany na stronie Exatela i dostępny do pobrania w formie PDF:

https://exatel.pl/wp-content/uploads/2017/06/wedrowny-bajt-10-raport-06-17-PL.pdf