编译 Charles
在安全补丁得以应用之前,攻击者通过对这些补丁进行逆向工程剖析,试图在CMS上做手脚。德国程序员找到了阻止他们的方法。
在短短的四个小时内,犯罪分子就能够完成对开源内容管理系统(CMS)软件补丁的逆向工程剖析,让数百万个网站去滥发垃圾邮件,变成恶意软件主机,甚至是DDoS攻击者。
David Jardin是德国协会“CMS Garden”的会员,该协会旨在促进包括Drupal、Joomla、WordPress在内的开源CMS软件的应用,他说:“一般的网站负责人很少有时间去应用更新。”
为帮助普通用户尽快打好补丁,CMS Garden正在参与一项政府资助的项目,即安全网站和内容管理系统(Siwecos),目的是让中小企业的网站更安全。
Jardin介绍说,Siwecos由三部分组成。
项目参与者包括波鸿大学的研究人员,他们正在开发一个扫描引擎,把企业网站可能存在的安全问题及时反馈给企业领导,例如SSL配置错误或者跨网站脚本攻击漏洞等。
CMS Garden参与了第二部分的工作:为不同的开源CMS提供一系列插件,获取CMS管理接口的反馈,这样,网站负责人就能够根据这些信息立即采取行动。
第三部分是Jardin最感兴趣的,这是一种服务,帮助网站托管公司过滤掉针对有漏洞的CMS的攻击。
Jardin把该项目推荐给了短信、恶意软件和移动反滥用工作组(M3AAWG,该组织旨在打击滥用互联网基础设施)在六月举行的一次会议。
正如Jardin所看到的,CMS Garden所提倡的系统本质上是安全的。问题是,网站负责人在使用网站时没有时间让系统保持最新状态。那么,最好把他们从整个链路中去掉。
他说:“我想通过直接与网络主机沟通,把网站负责人从责任链上去掉。”
他并没有指望网络主机为他们的客户打上CMS补丁。相反,在补丁发布的同时,他为网络应用程序防火墙提供网络主机能够立即使用的过滤规则,以防止利用补丁的漏洞。
他说:“他们可以立即应用它,为最终用户提供服务,给他们更多的时间去打上补丁。我们在Joomla项目以及一些德国网络主机上小规模的开展此项工作有相当一段时间了,反响很大。”
在最近的一次事件中,Joomla补丁发布后的第一天,一家德国托管公司应用过滤器阻止了每小时15万次的请求。
网络主机可以为自己创建这样的过滤器,但这也涉及到他们对补丁进行逆向工程剖析。Jardin说,交给像CMS Garden这样的工作组是更快更安全的方法。
“对于CMS群体,我们非常了解我们的系统,因此,这不是什么大事。我们可以找到一条没有太多副作用的规则,没有误报,对于网络托管公司来说,这是免费而且安全的。”
虽然Siwecos项目是由德国政府资助的,主要应用于德国中小企业,但互联网是没有国界的。
Jardin说:“即使是德国公司也在世界各地托管他们的主机。我们几乎和每个人交谈,所以这更像是一个全球性的计划。”
Siwecos扫描系统将使用模块化的API。它现在正在进行封闭beta测试,而它的开发者期望在九月之前放开,那时他们将发布它的第一个插件。正在开发的模块包括用于扫描与安全相关的HTTP报头的模块,例如内容安全策略报头。
Jardin说:“内容安全策略报头关系非常大,因为即使网站被感染了,它们也能防止漏洞被利用。”还有扫描模块,用于验证服务器设置中的SSL和TLS证书,检查HTML代码中是否有恶意软件。
Jardin也希望在九月份推出网络主机服务。这将从一个私人邮件列表开始,在给CMS打上补丁或者采取其他保护措施之前,这避免了给犯罪分子更多的线索。
“如果您看一下防火墙规则就会发现,对于有经验的攻击者来说,构建一个漏洞是相当容易的。这就是为什么我们要限制接受者范围的原因所在。”
Siwecos的网络应用程序防火墙与WordPress对某些网络主机所做的工作有些重叠。他说,Siwecos可应用于多个CMS项目,今后可以开放给更多的网络主机。“我们项目的优点在于它是所有CMS相关信息的中心所在。”
據Jardin,商业网络应用程序防火墙厂商对项目不必有什么担心,而且会大有收获。
“他们不了解我们的应用程序,他们预先不会知道安全问题的任何信息。他们至少需要24至48小时的时间才能配置好规则,而我们一开始就能提供这些规则。这是全新的东西。”
Peter Sayer是IDG新闻服务巴黎局局长,其工作涉及欧洲公共政策、人工智能、区块链和其他技术突发新闻。