Miksi tuhoisa tietoturva-aukko ei ole tuhoisa? (PÄIVITYS: DRUPALGEDDON2 HYÖKKÄYKSIÄ)

 

PÄIVITYS 14.4.2018: Nyt verkossa on automatisoituja hyökkäysiä [6] kaksi päivää sen jälkeen kun Checkpoint julkaisi [7] artikkelin miten DRUPALGEDDON2 haavoittuvuus toimii.

 

Ensiksi (ennen ongelmaa)

Jos sinulla on Drupal-sivusto ja kuulet 28.3.2018 julkastusta kriittisestä haavoittuvuudesta vasta nyt, niin lue välittömästi kaksi viimeistä kappaletta.

Vajaan viikon aikana Drupal-yhteisössä ja joka puolella maailmaa on ollut kiirettä paikata tietoturva-aukko, joka sai nimekseen DrupalGeddon2 [1] [2]. Kyseinen kriittinen haavoittuvuus oli "erittäin vakava" ja luonut (turhaa) pelkoa. Tämä postaus yrittää selventää, milloin tietoturva-aukosta tulee ongelma? Tai toisaalta miksi löydetty aukko  ei ole ongelma, miten tietoturvareijän paikkaus hoidetaan oikein.

Drupalilla on oma tietoturvatiimi [3], jonka tehtävä on pitää huolta, että tietoturva-asiat - kuten haavoittuvuuksien paikkaukset ja julkistukset - hoidetaan. Viikkoa ennen löydön julkaisua annettiin ilmoitus [4], että virallinen julkaisu ja sen paikkaus (patch) tullaan julkistamaan marraskuun 28. päivä klo. 18-19.30 UTC. 

Toisin sanoen ilmoitus yrittää kertoa kertoa kaikille sivujen omistajille tai niiden ylläpidosta vastuussa oleville: "Ole valmiina tällöin VÄLITTÖMÄSTI paikkaamaan sivustosi." TIP Solutions ja monet muut yritykset, jotka tekevät asioita oikein, varasivat aikaa kalenteriin 28.-29.3.2018, että sivustot tullaan paikkaamaan.

Edellinen päivä (tai muutama päivä ennen)

Kun virallinen julkaisu haavoittuvuudesta tehdään ja patch julkaistaan, niin tiedossa oli, että paikkaus tulee olemaan ytimeen eli coreen, jolloin sivuston päivitys tulee olemaan nopeahko ja downtimea (sivusto ei käytössä) tulee olemaan vähän tai ei ollenkaan.

Tällöin sivuston omistajille ilmoitettiin, että päivitykset tullaan tekemään sivustoihin 48-tunnin sisällä virallisen julkistuksen jälkeen.

Kaikilla asiakkaillamme on ylläpito-sopimus, joka pitää huolen, että me olemme vastuussa sivuston päivityksistä (tai meillä on tiedossa, kuka sivuston ylläpidosta vastaa) ja tietoturvapäivitykset tehdään ilman ylimääräisiä kustannuksia.

Julkistuspäivä

Sivustojen ytimet saatiin paikattua melko helposti (kiitos composer workflown [5] ja projektien kehittämisen oikein), jolloin kaikki sivustot oli paikattu muutaman tunnin sisällä. Prosessi kesti hieman odotettua kauemmin, koska samalla tehtiin paikkaukset joihinkin moduuleihin, jotka sitä tarvitsivat.

Kun päivitykset oli tehty ja viety päivitykset tuotantoon, niin sivuston omistajille ilmoitettiin jälleen asiasta.

Nykyhetki (5 päivää julkistuksen jälkeen)

Ennen julkaisua arvioitiin, että haavoittuvuutta hyväksi käyttävää koodia olisi tarjolla tuntien jälkeen julkaisusta. Tällä hetkelle ei vieläkään ole tiedossa, onko sivustoja kaapattu tai haavoittuvuutta käytetty hyväksi.

Joskus hakkerit kertovat avoimesti, miten haavoittuvuutta käytetään hyväksi (PoC) ja joskus tieto pidetään itsellään, jolloin paikkaamattomia sivustoja voidaan kaapata kenenkään huomaamatta. Siksi ei voida koskaan olla varmoja onko ko. tietoturva-aukkoon tarjolla sitä hyödytäviä hyökkäyksiä, joten sivusto kannattaa paikata aina joka tapauksessa.

Mistä tiedät onko sinun sivustosi päivitetty?

Mene osoitteeseen https://minunsivustoni.fi/admin/reports/status ja tarkasta, että ydin eli core versiosi on vähintään 7.58 tai 8.5.1. Tai vaihtoehtoisesti joku on tehnyt pätchäyksen manuaalisesti.

Jos et vieläkään ole varma, onko sivustosi ajan tasalla, niin ota yhteys sivustosi ylläpitäjään. Välittömästi!

Yhteenveto

Tietoturvapäivityksistä ei tarvitse olla huolissaan, jos sivusto päivitetään, kun paikka (patch) julkaistaan. Tämän vuoksi haavoittuvuuden löytäminen (valkohattujen toimesta) on hyvä asia, koska haavoittuvuuksien etsintä ja paikkaus on luonnollinen osa jokaista IT-projektia.

 

[1] https://www.drupal.org/sa-core-2018-002

[2] https://www.drupal.org/PSA-2014-003

[3] https://www.drupal.org/drupal-security-team

[4] https://www.drupal.org/psa-2018-001

[5] https://github.com/drupal-composer/drupal-project

[6] https://www.drupal.org/psa-2018-002

[7] https://research.checkpoint.com/uncovering-drupalgeddon-2/

 

TJ, Full stack -kehittäjä
Tipi Koivisto

Lisää uusi kommentti