Peter+Sayer

編譯 Charles

在安全補(bǔ)丁得以應(yīng)用之前，攻擊者通過對這些補(bǔ)丁進(jìn)行逆向工程剖析，試圖在CMS上做手腳。德國程序員找到了阻止他們的方法。

在短短的四個(gè)小時(shí)內(nèi)，犯罪分子就能夠完成對開源內(nèi)容管理系統(tǒng)（CMS）軟件補(bǔ)丁的逆向工程剖析，讓數(shù)百萬個(gè)網(wǎng)站去濫發(fā)垃圾郵件，變成惡意軟件主機(jī)，甚至是DDoS攻擊者。

David Jardin是德國協(xié)會“CMS Garden”的會員，該協(xié)會旨在促進(jìn)包括Drupal、Joomla、WordPress在內(nèi)的開源CMS軟件的應(yīng)用，他說：“一般的網(wǎng)站負(fù)責(zé)人很少有時(shí)間去應(yīng)用更新?！?/p>

為幫助普通用戶盡快打好補(bǔ)丁，CMS Garden正在參與一項(xiàng)政府資助的項(xiàng)目，即安全網(wǎng)站和內(nèi)容管理系統(tǒng)（Siwecos），目的是讓中小企業(yè)的網(wǎng)站更安全。

Jardin介紹說，Siwecos由三部分組成。

項(xiàng)目參與者包括波鴻大學(xué)的研究人員，他們正在開發(fā)一個(gè)掃描引擎，把企業(yè)網(wǎng)站可能存在的安全問題及時(shí)反饋給企業(yè)領(lǐng)導(dǎo)，例如SSL配置錯誤或者跨網(wǎng)站腳本攻擊漏洞等。

CMS Garden參與了第二部分的工作：為不同的開源CMS提供一系列插件，獲取CMS管理接口的反饋，這樣，網(wǎng)站負(fù)責(zé)人就能夠根據(jù)這些信息立即采取行動。

第三部分是Jardin最感興趣的，這是一種服務(wù)，幫助網(wǎng)站托管公司過濾掉針對有漏洞的CMS的攻擊。

Jardin把該項(xiàng)目推薦給了短信、惡意軟件和移動反濫用工作組（M3AAWG，該組織旨在打擊濫用互聯(lián)網(wǎng)基礎(chǔ)設(shè)施）在六月舉行的一次會議。

正如Jardin所看到的，CMS Garden所提倡的系統(tǒng)本質(zhì)上是安全的。問題是，網(wǎng)站負(fù)責(zé)人在使用網(wǎng)站時(shí)沒有時(shí)間讓系統(tǒng)保持最新狀態(tài)。那么，最好把他們從整個(gè)鏈路中去掉。

他說：“我想通過直接與網(wǎng)絡(luò)主機(jī)溝通，把網(wǎng)站負(fù)責(zé)人從責(zé)任鏈上去掉。”

他并沒有指望網(wǎng)絡(luò)主機(jī)為他們的客戶打上CMS補(bǔ)丁。相反，在補(bǔ)丁發(fā)布的同時(shí)，他為網(wǎng)絡(luò)應(yīng)用程序防火墻提供網(wǎng)絡(luò)主機(jī)能夠立即使用的過濾規(guī)則，以防止利用補(bǔ)丁的漏洞。

他說：“他們可以立即應(yīng)用它，為最終用戶提供服務(wù)，給他們更多的時(shí)間去打上補(bǔ)丁。我們在Joomla項(xiàng)目以及一些德國網(wǎng)絡(luò)主機(jī)上小規(guī)模的開展此項(xiàng)工作有相當(dāng)一段時(shí)間了，反響很大?！?/p>

在最近的一次事件中，Joomla補(bǔ)丁發(fā)布后的第一天，一家德國托管公司應(yīng)用過濾器阻止了每小時(shí)15萬次的請求。

網(wǎng)絡(luò)主機(jī)可以為自己創(chuàng)建這樣的過濾器，但這也涉及到他們對補(bǔ)丁進(jìn)行逆向工程剖析。Jardin說，交給像CMS Garden這樣的工作組是更快更安全的方法。

“對于CMS群體，我們非常了解我們的系統(tǒng)，因此，這不是什么大事。我們可以找到一條沒有太多副作用的規(guī)則，沒有誤報(bào)，對于網(wǎng)絡(luò)托管公司來說，這是免費(fèi)而且安全的。”

雖然Siwecos項(xiàng)目是由德國政府資助的，主要應(yīng)用于德國中小企業(yè)，但互聯(lián)網(wǎng)是沒有國界的。

Jardin說：“即使是德國公司也在世界各地托管他們的主機(jī)。我們幾乎和每個(gè)人交談，所以這更像是一個(gè)全球性的計(jì)劃?！?/p>

Siwecos掃描系統(tǒng)將使用模塊化的API。它現(xiàn)在正在進(jìn)行封閉beta測試，而它的開發(fā)者期望在九月之前放開，那時(shí)他們將發(fā)布它的第一個(gè)插件。正在開發(fā)的模塊包括用于掃描與安全相關(guān)的HTTP報(bào)頭的模塊，例如內(nèi)容安全策略報(bào)頭。

Jardin說：“內(nèi)容安全策略報(bào)頭關(guān)系非常大，因?yàn)榧词咕W(wǎng)站被感染了，它們也能防止漏洞被利用?！边€有掃描模塊，用于驗(yàn)證服務(wù)器設(shè)置中的SSL和TLS證書，檢查HTML代碼中是否有惡意軟件。

Jardin也希望在九月份推出網(wǎng)絡(luò)主機(jī)服務(wù)。這將從一個(gè)私人郵件列表開始，在給CMS打上補(bǔ)丁或者采取其他保護(hù)措施之前，這避免了給犯罪分子更多的線索。

“如果您看一下防火墻規(guī)則就會發(fā)現(xiàn)，對于有經(jīng)驗(yàn)的攻擊者來說，構(gòu)建一個(gè)漏洞是相當(dāng)容易的。這就是為什么我們要限制接受者范圍的原因所在?！?/p>

Siwecos的網(wǎng)絡(luò)應(yīng)用程序防火墻與WordPress對某些網(wǎng)絡(luò)主機(jī)所做的工作有些重疊。他說，Siwecos可應(yīng)用于多個(gè)CMS項(xiàng)目，今后可以開放給更多的網(wǎng)絡(luò)主機(jī)?！拔覀冺?xiàng)目的優(yōu)點(diǎn)在于它是所有CMS相關(guān)信息的中心所在?！?/p>

據(jù)Jardin，商業(yè)網(wǎng)絡(luò)應(yīng)用程序防火墻廠商對項(xiàng)目不必有什么擔(dān)心，而且會大有收獲。

“他們不了解我們的應(yīng)用程序，他們預(yù)先不會知道安全問題的任何信息。他們至少需要24至48小時(shí)的時(shí)間才能配置好規(guī)則，而我們一開始就能提供這些規(guī)則。這是全新的東西。”

Peter Sayer是IDG新聞服務(wù)巴黎局局長，其工作涉及歐洲公共政策、人工智能、區(qū)塊鏈和其他技術(shù)突發(fā)新聞。endprint