Zabezpečenie administrácie zákazníckych CMS

V poslednom období sme zaznamenávali podstatný nárast počtu útokov na administráciu zákazníckych CMS. Najčastejšie ide logicky o tie najobľúbenejšie, teda o WordPress a Joomla. Útoky prebiehajú roboticky a hrubou silou sa pokúšajú prelomiť heslo do administrácie CMS. I keď má zákazník heslo dostatočne silné a k prolomeniu nedôjde, sú útoky natoľko intenzívne, že preťažovali hostingové servery a spôsobovali spomalenie či čiastočnú nedostupnosť webových služieb na postihnutom serveri.

Naviac ak má zákazník heslo slabé, útok bol skôr či neskôr úspešný a následne bol web zneužívaný na phishing, spomaľovanie alebo na kybernetické útoky na ďalšie ciele prípadne pre inú kriminálnu činnosť. (Pre voľbu vhodného hesla je možné odporučiť nasledujúce rady: http://www.jaknainternet.cz/page/1178/pocitacova-hesla/

Rýchle zásahy správcov hostingu zaistili elimináciu výpadkov, ale mali aj niektoré nepríjemné dopady na zákazníkov s postihnutými CMS, teda sme ich nemohli nechať nasadené na trvalo. V rámci činnosti nášho bezpečnostného tímu ACTIVE24-CSIRT, ktorý nerieši len následky podobných incidentov, ale taktiež adekvátne protiopatrenia a prevenciu, sme preto pristúpili k riešeniu tohto problému komplexnejšie.

Cieľom bolo celkom eliminovať čiastočné výpadky na platforme spôsobené týmito útokmi a maximálne redukovať riziko neautorizovaného prístupu do administrácie zákazníckeho CMS i v prípade, keď ju zákazník nemá sám dostatočne zabezpečenú a pritom nespôsobiť iné negatívne dopady na zákazníkov.

Špecifikum útokov bolo v tom, že meno a heslo nešlo považovať za dostatočnú autentizáciu k prístupu do administrácie CMS, pričom jediný údaj, ktorý sme okrem týchto dvoch poznali, bola klientská IP adresa. To nápadne pripomína situáciu, kedy sme pred rokmi riešili neautorizované prístupy na FTP s pomocou hesiel ukradnutých zákazníkom (viď http://www.root.cz/clanky/ftp-autorizace-na-web-hostingu-v-dobe-masoveho-vykradani-hesel/).
Zvolené protiopatrenie má preto velmi podobný charakter k tomu, které sme prijali na ochranu FTP účtov. Pri prístupe do administrácie napádaných CMS prevádzame geolokáciu IP adresy klienta a ak nie je z Českej či Slovenskej republiky, vyžadujeme dodatočnú basic autentizáciu, ktorá funguje v tomto prípade podobne ako captcha. To všetko je realizované na úrovni servera „nginx“, ktorý používame ako reverzné proxy na našich webových serveroch a nezaťažuje to teda samotný webový server apache či zákaznícku aplikáciu.

Efekt opatrení je zásadný, keďže útoky tohto typu od tej doby nemusíme vôbec riešiť a pritom väčšina zákazníkov nerozpozná žiadny rozdiel vo funkčnosti. Dôležité je, že opatrenie bolo nasadené implicitne všetkým a zároveň je ponechaná možnosť, nechať si ho na konkrétnom webe vypnúť, ak si zákazník svoj web zabezpečí sám iným spôsobom.

Článok pripravil Tomáš Hála, vedúci Linux administrátor ACTIVE 24

NAPIŠTE KOMENTÁŘ