W połowie marca Artemis, narzędzie rozwijane przez zespół CERT Polska przekroczyło liczbę 200 tysięcy wykrytych luk i błędnych konfiguracji stron internetowych publicznych instytucji w Polsce – podała NASK. Łącznie przeskanowanych zostało ponad 460 tysięcy domen i subdomen. Niektóre z podatności mogą skutkować tym, że ze strony można pobrać dane, inne pozwalają zmieniać treść strony lub np. uzyskać uprawnienia administratora.
CERT Polska wziął pod lupę m.in. domeny przedszkoli, szkół, uczelni wyższych, placówek służby zdrowia, banków czy jednostek samorządu terytorialnego.
Jak wyjaśnia NASK, Artemis bada – całkowicie za darmo – strony udostępnione w internecie w poszukiwaniu luk bezpieczeństwa i błędów konfiguracyjnych. Szczególną troską otoczone są przy tym witryny tych instytucji, z których na co dzień korzysta wielu obywateli naszego kraju, co pozwala na nieustanne monitorowanie i podnoszenie poziomu ich bezpieczeństwa. Badanie nie obciąża systemów skanowanych instytucji, a uzyskane wyniki ujawniane są wyłącznie ich administratorom, dzięki czemu zyskują oni wiedzę na temat wykrytych podatności i mogą wykorzystać ją do poprawy bezpieczeństwa systemów.
Artemis działa oficjalnie od 1 stycznia 2023 roku – od tego czasu przeskanował już łącznie 54 753 domen i adresów IP oraz 407 302 subdomen. Do tej pory Artemis wykrył aż 225 057 podatności lub błędnych konfiguracji, w tym 13 952 wiążących się z wysokim zagrożeniem. Dodatkowo 137 950 zagrożeń ocenionych zostało jako średnie i 73 155 – jako niskie.
– Zaczynaliśmy w styczniu 2023 roku od skanowania jednej grupy stron: jednostek samorządu terytorialnego. Obecnie skanujemy ponad 10 typów instytucji i co miesiąc wysyłamy informacje o kilkunastu tysiącach podatności i błędnych konfiguracji –wyjaśnia Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.
Co najmniej jedną podatność lub błędną konfigurację wykryto w 74 305 przeskanowanych domenach i subdomenach. Dzięki skanowaniu wykryto 107 751 przypadków korzystania z nieaktualnego oprogramowania, umożliwiającego tego typu atak. Artemis wykrył też 4 897 przypadków krytycznych lub poważnych podatności, umożliwiających np. przejęcie strony lub pobranie bazy danych.
Dość powszechne są problemy z konfiguracją SSL/TLS. To zaś stwarza ryzyko przechwycenia komunikacji użytkownika ze stroną. Jeżeli dane zostaną przechwycone i pojawił się tam login i hasło, to przestępca może je poznać i zalogować się do serwisu jako uprawniony użytkownik. Artemis pomógł ostrzec administratorów w 47 612 przypadkach takich problemów.
Błędnie skonfigurowane mechanizmy weryfikacji nadawcy poczty e-mail też nie są rzadkością. Stwarza to ryzyko wysyłania fałszywych e-maili z danej domeny. Artemis wykrył 29 635 tego typu przypadków.
Zdarzało się też, że wrażliwe dane, takie jak kopie zapasowe, kod źródłowy, zrzuty bazy danych czy dziennik zdarzeń serwera, były dostępne publicznie. Artemis wykrył 4 021 tego typu przypadków.
Niektóre instytucje ułatwiały też zadanie hakerom w ten sposób, że panel administracyjny lub panel logowania był dostępny publicznie. W takim wypadku atak jest możliwy, jeśli jedno z kont (np. do bazy danych czy usługi zdalnego pulpitu), ma słabe hasło albo jeśli w usłudze występują podatności. Artemis wykrył 18 222 tego typu przypadków.
Niebezpieczne jest też upublicznienie informacji o konfiguracji serwera, listy subdomen lub listy plików w folderach na serwerze. Może to atakującemu ułatwić rekonesans, poznanie używanego oprogramowania lub nazw plików, które nie powinny być dostępne publicznie, a w konsekwencji także umożliwić ich pobranie. Artemis wykrył 12 861 tego typu przypadków.
CERT Polska ze względów bezpieczeństwa nie ujawnia, w których obszarach życia w Polsce lub sektorach gospodarki wykryto najwięcej podatności, zwłaszcza z podziałem na różne ich rodzaje.