วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
อย่ามัวเมากับช่องโหว่ที่ไม่มีวันหยุดและการโจมตีที่ซับซ้อนและล้ำสมัย ผู้โจมตีมีแนวโน้มที่จะใช้ช่องโหว่ที่เก่ากว่าและเป็นที่รู้จักในแอปพลิเคชันบนเว็บดังนั้นให้มุ่งเน้นไปที่การปะแก้เบื้องต้นและสุขอนามัยความปลอดภัยแทน
Barry Shteiman ผู้อำนวยการฝ่ายกลยุทธ์การรักษาความปลอดภัยของ Imperva กล่าวว่าช่องโหว่ที่ได้รับการแก้ไขในปี 2010 และอีกครั้งในปี 2552 เป็นหนึ่งในสิบช่องโหว่ที่พบบ่อยที่สุดของเว็บในเดือนเมษายน แม้อายุของพวกเขาแล้วผู้โจมตีทั้งส่วนตัวและในเชิงอุตสาหกรรมยังคงกำหนดเป้าหมายไปยังช่องโหว่เหล่านี้เนื่องจากแคมเปญการโจมตีเหล่านี้มี "ผลกำไร" การโจมตีนั้นไม่จำเป็นต้องซื้อหรือพัฒนาการหาประโยชน์แบบ zero-day ที่มีราคาแพง“ เหมือนของเก่าที่มีให้ใช้งานอย่างกว้างขวางเช่นกัน” Shteiman กล่าว
ผู้โจมตีเข้าใจว่าช่องโหว่ที่เก่ากว่านั้นเป็นผลมาจากความปลอดภัยของเว็บแอพพลิเคชั่นที่ไม่มั่นคง ผู้โจมตีอาจมีความซับซ้อนหากพวกเขาต้องการและมีเครื่องมือในการจัดการกับแคมเปญที่ซับซ้อน แต่ทำไมต้องกังวลเมื่อผู้คนยึดติดกับแอปพลิเคชันเว็บที่ล้าสมัยหรือผู้ดูแลระบบไม่ได้กำหนดตารางการอัพเดทเป็นประจำสำหรับแอปพลิเคชัน ปัญหานี้แพร่หลายมากขึ้นในแอปพลิเคชันที่ใช้กันอย่างแพร่หลายเช่นซอฟต์แวร์ฟอรัมระบบการจัดการเนื้อหาและแม้แต่เครื่องมือพาณิชย์อิเล็กทรอนิกส์ Shteiman กล่าว
ระบบที่มีความเสี่ยง
ช่องโหว่ทั้งหมดที่มีเป้าหมายในเดือนเมษายนคือการโจมตีการฉีดเช่นไฟล์และการฉีด SQL และได้รับการแก้ไขทั้งหมด ข้อบกพร่องในปี 2010 ใช้ประโยชน์จากปัญหาการจัดการสิทธิ์ใน ZeusCMS 0.2 และข้อบกพร่อง 2009 คือการฉีด SQL ใน Zen Cart 1.3.8 และรุ่นก่อนหน้า “ ช่องโหว่ไม่เคยตาย” Shteiman กล่าว
หากผู้โจมตีทราบถึงปัญหาใน CMS เดียวและ CMS นั้นติดตั้งไปแล้ว 10 ล้านครั้งการค้นหาไซต์ที่ใช้ซอฟต์แวร์เวอร์ชันนั้น "สมเหตุสมผล" Shteiman กล่าว มันต้องใช้ Google-fu ที่รอบคอบและไม่มีอะไรอื่นมาก
Imperva จัดทำแผนภูมิช่องโหว่สิบอันดับเป้าหมายและสิ่งที่สามออกมา ช่องโหว่ "ใหม่ล่าสุด" ในรายการนั้นมาจากปี 2013 ตามที่สามารถเห็นได้จากคะแนน CVSS ช่องโหว่ที่ตัวเองไม่ได้มีความซับซ้อนข้อบกพร่องที่สำคัญอย่างมาก และการหาช่องโหว่ตัวเองนั้นไม่ซับซ้อน
มีการโจมตีจำนวนมากต่อซอฟต์แวร์ CMS ที่ได้รับความนิยมรวมถึง WordPress และ Joomla ด้วยระบบที่มีช่องโหว่ที่เพียงพอจึงมีราคาถูกและง่ายกว่าสำหรับผู้โจมตีที่จะมองหาระบบเหล่านั้นแทนการประดิษฐ์การโจมตีแบบ zero-day
เพิ่มขึ้นในโลกการฉีด
ผู้โจมตีใช้เพียงเวกเตอร์ที่มีอยู่และเพิ่งค้นพบเวกเตอร์การโจมตีซ้ำแล้วซ้ำอีก Shteiman กล่าว นี่คือเหตุผลที่การฉีด SQL และการเขียนสคริปต์ข้ามไซต์ยังคงเป็นเวกเตอร์การโจมตีที่ได้รับความนิยม ปัญหา SQLi ได้รับการแก้ไขเมื่อสิบปีก่อน แต่อัตราการโจมตียังคงสูง การเขียนสคริปต์ข้ามไซต์คิดเป็น 40 เปอร์เซ็นต์ของการโจมตีในช่วงสามเดือนที่ผ่านมาและการฉีด SQL เป็น 25 เปอร์เซ็นต์เขากล่าว
“ ถ้าเรามีวิธีรักษาโรคมะเร็งคุณคาดว่าจะเห็นอัตราการตายลดลง แต่นั่นไม่ใช่กรณีของการฉีด SQL” Shteiman กล่าว
ภาพรวมอย่างรวดเร็วที่ Exploit-db.com ยืนยันข้อสังเกตของ Shteiman หนึ่งในห้าช่องโหว่ที่ระบุไว้ในเว็บแอพพลิเคชั่นมีห้าอย่างที่เกี่ยวข้องกับซอฟต์แวร์แบบ off-the-shelf เช่น WordPress, AuraCMS หรือแพลตฟอร์มธุรกิจสังคม Sharetronix การโจมตีด้วยการฉีด XSS และ SQL ก็มีการระบุไว้บ่อยครั้งเช่นกัน
ผู้ดูแลระบบไม่ว่าพวกเขาจะจัดการเว็บไซต์ที่มีผู้ใช้หลายล้านคนในแต่ละวันหรือเว็บไซต์ที่มีสถานะออนไลน์น้อยกว่าจำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขาแก้ไขซอฟต์แวร์เป็นประจำ นักพัฒนา CMS หลายคนทำให้กระบวนการอัปเดตภายในซอฟต์แวร์ของพวกเขาง่ายขึ้นและมีเครื่องมือที่ช่วยระบุแอปพลิเคชันทั้งหมดที่ได้รับการติดตั้ง ควรปิดใช้งานคุณสมบัติที่ไม่ได้ใช้งาน
แน่นอนว่าการโจมตีแบบ zero-day และการโจมตีแบบเป้าหมายนั้นน่ากลัว แต่ถ้าผู้โจมตีเข้ามาหาข้อมูลของคุณและเว็บไซต์ของคุณ (และราคาต่อรองนั้นจะสูงกว่าใครสักคน) อย่าทำให้เป็นเรื่องง่ายด้วยการมีช่องโหว่ในซอฟต์แวร์ของคุณ แก้ไขเรียกใช้เครื่องมือประเมินและมองหาพฤติกรรมที่น่าสงสัย ความระมัดระวังเป็นกุญแจสำคัญ