E' passato piu di un anno dalla segnalazione su questi due post (1 e 2) di problemi a siti , anche .IT, derivati da vulnerabilita' presenti e non corrette su Plone. (Plone e' un Content Management System (o CMS), ovvero un sistema di gestione dei contenuti multipiattaforma, basato sul server per applicazioni web Zope e sul linguaggio di programmazione Python.(da Wikipedia)).
Ecco due attuali siti di Amministrazione Pubblica italiana che presentano analogie per la tipologia di attacco subito.
Relativamente al primo sito comunale questo uno screenshot di un utente fasullo creato all'interno della gestione 'Members'
con decine links a pagine come questa
che propongono a sua volta links a questo fake motore di ricerca.
Analogie si possono notare, anche dal punto di vista grafico per queste pagine di falso utente, presenti su altro sito comunale
e di cui vediamo la pagina 'indice' di quanto pubblicato in data recente
Questa invece la pagina utenti con in evidenza quello creato allo scopo di aggiungere post fasulli.
In entrambi i casi si nota la presenza, nei sources delle pagine, della conferma dell'uso di Plone
mentre l'accesso alle pagine dei post sembrerebbe in entrambi i casi protetto, si fa per dire, da form di login.
E chiaro come ancora una volta l'utilizzo di applicazioni di Content Management System (o CMS), senza un loro costante aggiornamento per risolvere eventuali vulnerabilita' presenti, ha portato a queste inclusioni di 'utenti' fasulli.
Sia che si tratti di Plone ma anche di altri CMS, ad esempio il diffuso Joomla, che vediamo spesso coinvolto in casi di siti compromessi, l'utilizzo di versioni non recenti, (o peggio nel caso di Joomla di moduli, componenti ecc.. non sicuri) portano sempre alla presenza di vulnerabilita' piu' o meno pericolose che possono venir sfruttate da chi vuole compromettere il sito allo scopo di includere pagine, links, scripts pericolosi ecc....
Importante aggiornamento
Ecco due attuali siti di Amministrazione Pubblica italiana che presentano analogie per la tipologia di attacco subito.
Relativamente al primo sito comunale questo uno screenshot di un utente fasullo creato all'interno della gestione 'Members'
con decine links a pagine come questa
che propongono a sua volta links a questo fake motore di ricerca.
Analogie si possono notare, anche dal punto di vista grafico per queste pagine di falso utente, presenti su altro sito comunale
e di cui vediamo la pagina 'indice' di quanto pubblicato in data recente
Questa invece la pagina utenti con in evidenza quello creato allo scopo di aggiungere post fasulli.
In entrambi i casi si nota la presenza, nei sources delle pagine, della conferma dell'uso di Plone
mentre l'accesso alle pagine dei post sembrerebbe in entrambi i casi protetto, si fa per dire, da form di login.
E chiaro come ancora una volta l'utilizzo di applicazioni di Content Management System (o CMS), senza un loro costante aggiornamento per risolvere eventuali vulnerabilita' presenti, ha portato a queste inclusioni di 'utenti' fasulli.
Sia che si tratti di Plone ma anche di altri CMS, ad esempio il diffuso Joomla, che vediamo spesso coinvolto in casi di siti compromessi, l'utilizzo di versioni non recenti, (o peggio nel caso di Joomla di moduli, componenti ecc.. non sicuri) portano sempre alla presenza di vulnerabilita' piu' o meno pericolose che possono venir sfruttate da chi vuole compromettere il sito allo scopo di includere pagine, links, scripts pericolosi ecc....
Importante aggiornamento
Per quanto si riferisce ai due siti visti sopra, che ho indicato come soggetti a vulnerabilita' (visti i numerosi casi passati es Plone Sex, Anyone? Trend Micro Blog)) ho ricevuto alcune segnalazioni, che indicherebbero invece trattarsi, almeno per questa volta, di 'errata configurazione” del CMS che porterebbe ai problemi visti (inclusione di messaggi e links tramite creazione di falso utente.)
Non e' quindi una vulnerabilita sfruttata ma solo l'utilizzo di Plone non correttamente o completamente configurato.
Piu precisamente ....
“ Si tratta di una errata configurazione del sito, che puo' essere vista su due livelli: la prima aver lasciato il join attivo senza aggiungere un captcha o simili sistemi di controllo, l'altro di non aver utilizzato un workflow che metta i contenuti degli utenti in stato privato e quindi non ricercabili all'interno del portale (si puo' anche evitare che possano creare contenuti disattivando le home) ..........(Postato da axaroth 20 ottobre 2009))”
Inoltre per quanto riguarda a vulnerabilita presenti e patchate su Plone ecco un links a Secunia
http://secunia.com/advisories/search/?search=plone
mentre questo per quanto si riferisce a Joomla
http://secunia.com/advisories/search/?search=joomla
Edgar
Non e' quindi una vulnerabilita sfruttata ma solo l'utilizzo di Plone non correttamente o completamente configurato.
Piu precisamente ....
“ Si tratta di una errata configurazione del sito, che puo' essere vista su due livelli: la prima aver lasciato il join attivo senza aggiungere un captcha o simili sistemi di controllo, l'altro di non aver utilizzato un workflow che metta i contenuti degli utenti in stato privato e quindi non ricercabili all'interno del portale (si puo' anche evitare che possano creare contenuti disattivando le home) ..........(Postato da axaroth 20 ottobre 2009))”
Inoltre per quanto riguarda a vulnerabilita presenti e patchate su Plone ecco un links a Secunia
http://secunia.com/advisories/search/?search=plone
mentre questo per quanto si riferisce a Joomla
http://secunia.com/advisories/search/?search=joomla
Edgar
2 commenti:
Non è un problema di sicurezza, semplicemente hanno lasciato aperta la possibilità di iscriversi al portale. Quindi è un caso di mancata configurazione.
Sono d'accordo solo che non esiste da nessuna parte la possibilita' di iscriversi .... Su entrambi i siti l'accesso all'area messaggi e' possibile solo tramite links da Google ma non da internet, quindi a meno che chi gestisce i siti abbia eliminato, a seguito di problemi, la pagina di iscrizione al portale (e crei l'account solo su richiesta), pare che chi aggiunge messaggi si sia iscritto ..ma non saprei da dove
Il dubbio e' che comunque, visto che e' gia' successo e molto in passato, sfrutti qualcuna delle vulnerabilita' presenti per accedere......... e per aver creato un proprio account utente...
E' anche vero che conoscendo come di solito funzionano le cose , visto che magari c'erano problemi di falsi utenti, hanno eliminato le pagine con i forms di registrazione senza aver cancellato i relativi account fasulli....
Saluti.
Posta un commento