W połowie marca narzędzie rozwijane przez zespół CERT Polska przekroczyło liczbę 200 tysięcy wykrytych luk i błędnych konfiguracji stron internetowych publicznych instytucji w Polsce. Łącznie przeskanowanych zostało ponad 460 tysięcy domen i subdomen.
Kogo dotyczą badania podatności stron internetowych, realizowane z wykorzystaniem Artemisa? Każdego, kto mieszka i funkcjonuje w Polsce. Wśród witryn przeskanowanych automatycznie dzięki narzędziu wdrożonemu i rozwijanemu w CERT Polska znajdują się m.in. domeny przedszkoli, szkół, uczelni wyższych, placówek służby zdrowia, banków czy jednostek samorządu terytorialnego.
Artemis bada – całkowicie za darmo – strony udostępnione w internecie w poszukiwaniu luk bezpieczeństwa i błędów konfiguracyjnych. Szczególną troską otoczone są przy tym witryny tych instytucji, z których na co dzień korzysta wielu obywateli naszego kraju, co pozwala na nieustanne monitorowanie i podnoszenie poziomu ich bezpieczeństwa.
Badanie nie obciąża systemów skanowanych instytucji, a uzyskane wyniki ujawniane są wyłącznie ich administratorom, dzięki czemu zyskują oni bezcenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją do poprawy bezpieczeństwa systemów.
Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki. W przypadku zagrożeń ocenianych jako wysokie i po wykryciu, że niezbędne poprawki nie zostały wprowadzone, eksperci CERT Polska dodatkowo kontaktują się z daną instytucją telefonicznie.
Co zdziałał i co wykrył Artemis?
Artemis działa oficjalnie od 1 stycznia 2023 roku – od tego czasu przeskanował już łącznie 54 753 domen i adresów IP oraz 407 302 subdomen. Do tej pory Artemis wykrył aż 225 057 podatności lub błędnych konfiguracji, w tym 13 952 wiążących się z wysokim zagrożeniem.Dodatkowo 137950 zagrożeń ocenionych zostało jako średnie i 73 155 – jako niskie.
Zaczynaliśmy w styczniu 2023 roku od skanowania jednej grupy stron: jednostek samorządu terytorialnego. Obecnie skanujemy ponad 10 typów instytucji i co miesiąc wysyłamy informacje o kilkunastu tysiącach podatności i błędnych konfiguracji
– opowiada Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.
Co najmniej jedną podatność lub błędną konfigurację wykryto w 74 305 przeskanowanych domenach i subdomenach.
Jakim zagrożeniom być może udało się zapobiec?
- Ryzyko ataku przy użyciu znanych podatności.
Niektóre z podatności mogą skutkować tym, że ze strony można pobrać dane, inne pozwalają zmieniać treść strony lub np. uzyskać uprawnienia administratora.
Dzięki skanowaniu wykryto 107 751 przypadków korzystania z nieaktualnego oprogramowania, z którego część może być wykorzystana do tego typu ataku.
- Problemy z konfiguracją SSL/TLS.
Stwarza to ryzyko przechwycenia komunikacji użytkownika ze stroną. Jeżeli dane zostaną przechwycone i pojawił się tam login i hasło, to przestępca może je poznać i zalogować się do serwisu jako uprawniony użytkownik.
Artemis pomógł ostrzec administratorów w 47 612 przypadkach takich problemów.
- Błędnie skonfigurowane mechanizmy weryfikacji nadawcy poczty e-mail.
Stwarza to ryzyko wysyłania fałszywych e-maili z danej domeny.
Artemis wykrył 29 635 tego typu przypadków.
- Panel administracyjny lub panel logowania dostępny publicznie.
W takim wypadku atak jest możliwy, jeśli jedno z kont (np. do bazy danych czy usługi zdalnego pulpitu), ma słabe hasło albo jeśli w usłudze występują podatności.
Artemis wykrył 18 222 przypadków tego typu podatności.
- Upublicznienie informacji o konfiguracji serwera, listy subdomen lub listy plików w folderach na serwerze.
Może to atakującemu ułatwić rekonesans, poznanie używanego oprogramowania lub nazw plików, które nie powinny być dostępne publicznie, a w konsekwencji także umożliwić ich pobranie.
Artemis wykrył 12 861 tego typu przypadków.
- Krytyczne lub poważne podatności, umożliwiające np. przejęcie strony lub pobranie bazy danych.
Artemis wykrył 4 897 tego typu przypadków.
-
Sytuacje, w których wrażliwe dane, takie jak kopie zapasowe, kod źródłowy, zrzuty bazy danych czy dziennik zdarzeń serwera, były dostępne publicznie.
Artemis wykrył 4 021 tego typu przypadków.
Co ciekawe, Artemis dba już o bezpieczeństwo stron internetowych nie tylko w Polsce.
Prezentujemy Artemisa na konferencjach międzynarodowych, szkolimy też inne zespoły CERT w jego obsłudze, a także wiemy, że jest wykorzystywany za granicą. Co więcej, eksperci z zagranicznych zespołów CSIRT aktywnie pomagają nam w dalszym rozwoju tego narzędzia
– wyjaśnia Krzysztof Zając.
Na koniec słowo wyjaśnienia – w przeciwieństwie do liczb związanych z przeprowadzonym skanowaniem, CERT Polska ze względów bezpieczeństwa nie ujawnia, w których obszarach życia w Polsce lub sektorach gospodarki wykryto najwięcej podatności, zwłaszcza z podziałem na różne ich rodzaje.