Metodika skenování redakčních systémů na webových stránkách v doméně .CZ

Motivace projektu

V celosvětovém měřítku je na různých Content Management Systems (CMS), tedy systémech pro správu obsahu, provozována více než třetina webových prezentací. Z tohoto důvodu jsou tyto webové prezentace často napadány útočníky. Napadené webové prezentace jsou pak často používány k dalším útokům na koncové uživatele, jako je phishing, nebo šíření malware. Výzkum společnosti Sucuri z roku 2016 provedený na více než 11 000 napadených webových stránek potvrdil, že 75 % z těchto napadených stránek bylo provozováno na jedné z populárních CMS platforem WordPress. Více než 50 % z těchto stránek pak nebylo provozováno na aktuální verzi. Z pravidelných reportů této společnosti také vyplývá, že v případě Wordpressu se na napadení stránek podílejí zhruba z třetiny také pluginy, které nebyly včas nahrazeny aktuální verzí.

Naším cílem je provést test webových prezentací v doméně .CZ a na případné zastaralé verze CMS systémů a jejich pluginů upozornit držitele doménových jmen. Lze předpokládat, že část z provozovatelů takovýchto prezentací si možné riziko ani neuvědomuje. Očekáváme, že se tak podaří předejít škodám, které by v důsledku zneužití chyb v zastaralých verzích CMS poškodili provozovatele webových stránek, případně jejich návštěvníky.

Průběh projektu

Pro provedení skenu bude využito aktuálního seznamu domén, tak jak jsou registrovány v registru provozovaném sdružením CZ.NIC pro doménu .CZ. Test bude prováděn pomocí automatizovaného nástroje a díky němu získáme seznam webových prezentací, které jsou provozovány na zastaralé verzi CMS, v některých případech i konkrétní verze zastaralých pluginů. Uvedené testy budeme realizovat z IP adresy 217.31.192.50.

Plánované využití výsledků testů

Naším cílem je především zvýšení úrovně zabezpečení webových stránek v doméně .CZ provozovaných prostřednictvím systémů pro správu obsahu. Z tohoto důvodu budou držitelé doménových jmen, na kterých najdeme zastaralé verze těchto systémů, informováni e-mailovou zprávou odeslanou prostřednictvím pracoviště CSIRT.CZ. V této zprávě budou informace o nalezené verzi a vysvětlení, proč by měl držitel domény zařídit upgrade na novou verzi. Dále budou získané poznatky v anonymizované formě využity především k edukačním účelům, prostřednictvím zveřejnění článků a blogpostů.

Co dělat, pokud si nepřejete dostávat informace o výsledcích skenování Vašich sítí a domén?

Pokud si nepřejete skenování Vašich domén či sítí, pošlete laskavě tuto informaci z e-mailové adresy držitele domény nebo administrativního kontaktu uvedené ve whois pro danou doménu, či IP rozsah na adresu security-scan@csirt.cz. Zaměstnanci CSIRT.CZ Vás pak již pouze kontaktují pro ověření autentičnosti požadavku a Vaši doménu, či adresní rozsah zařadí mezi výjimky. V požadavku můžete specifikovat, ze kterých projektů si přejete být vyjmuti, nebo skenování zcela zakázat pro všechny aktuální, i budoucí bezpečnostní projekty našeho týmu.