Недавно исследователи Check Point обнаружили критическую уязвимость в веб-платформе с открытым исходным кодом . Это популярное программное обеспечение предназначено для создания и обслуживания wiki-ресурсов, таких как Wikipedia.org (шестой по посещаемости сайт в мире по данным Alexa.com). Найденная уязвимость допускает удаленное исполнение кода на сайтах MediaWiki (версии 1.8), что позволяет злоумышленнику получить полный контроль над уязвимым сервером. Таким образом, угрозе заражения вредоносным ПО ежемесячно подвергались 94 миллиона посетителей Wikipedia, а также других сайтов Wiki. После выхода обновления и патча к программному обеспечению MediaWiki уязвимость была устранена, и на данный момент уже все пользователи MediaWiki обновили свои системы.
Но какие уроки мы можем извлечь из случившегося?
Урок #1: Следите за кодом
С 2006 года это всего лишь третья уязвимость удаленного исполнения кода, обнаруженная в платформе MediaWiki. И хотя это достаточно неплохой результат, нельзя чувствовать себя в безопасности только потому, что новых уязвимостей не находили уже месяцы или даже годы. Проблема уязвимости приложений обостряется при использовании устаревших систем, которые особенно подвержены переполнениям памяти, поскольку не обладают в достаточной мере новыми опциями запрета на исполнение кода из незащищенного пространства памяти. Таким образом, в дополнение к внимательному наблюдению за уязвимостями со стороны разработчиков, еще более важно обновлять оборудование на более новое, поддерживающее запрет на исполнение кода и другие встроенные функции защиты или применять технологии предотвращения угроз. С точки зрения лучших практик рекомендуется придерживаться всех трех подходов.
Урок #2: Лезвие Оккама по-прежнему отсекает истину
Несколько обновленная версия философии называется принцип — обе теории сохраняют свою актуальность и в нашем случае: наиболее простой ответ, как правило, оказывается самым верным. В то время, как постоянный рост вектора сложных угроз, развитие усовершенствованных вторжений, взломы мобильных устройств, DDoS-атаки и даже формируют повестку дня, относительно простое внедрение кода через такие уязвимости, как мы обнаружили в платформе WikiMedia, все еще являются вполне реальной и даже типичной угрозой. Более того, они все чаще остаются незамеченными, так как не являются особенно новыми или интересными. Но хакеры всегда ищут наиболее простой путь, на котором они встретят меньше сопротивления. Представьте, что вы повесили табличку «Осторожно, злая собака», обзавелись таковой во дворе, оснастили все входные двери сложными системами защиты с мобильными уведомлениями, заперли все ворота, но оставили открытым одно единственное окно. Иногда такие простые и очевидные точки входа являются самыми привлекательными для злоумышленников и самыми упущенными из виду со стороны разработчиков и владельцев сайтов.
Урок #3: Безопасных кликов не бывает
Даже самые уважаемые сайты, такие как Wikipedia.org, могут стать потенциальной жертвой эксплойтов или уязвимостей, таких как удаленное исполнение кода, обнаруженное на платформе MediaWiki. Но вы можете усилить защиту так, чтобы даже если сайт был взломан злоумышленниками, заражение все равно можно было бы обнаружить и блокировать, прежде чем вредоносный код распространится на все клиенты и серверы. Речь не идет о блокировании доступа сотрудников ко всем сайтам, поскольку, как показал пример MediaWiki, даже самые полезные и безобидные ресурсы могут оказаться носителями вредоносного кода.