Podle studie společnosti SiteLock, v roce 2018 vzrostl počet útoků na webové stránky postupně až o 59% s tím, že webová stránka byla za tento rok průměrně cílem 62 útoků denně, přičemž toto číslo ke konci roku dosahovalo až 80 útoků denně. Tento nárůst Podle autorů studie indikuje, že útočníci se stále více orientují na automatizaci svých činností, což jim umožňuje zvyšovat rychlost a počet útoků.

Pokud tato data porovnáme s daty z našeho systému včasné výstrahy, můžeme tato zjištění jen potvrdit. Na našich honeypotech a v threat intelligence zdrojích spolupracujících organizací vidíme denně velké množství útočníků, kteří se snaží automatizovaně zneužít různé zranitelnosti webových stránek, které se různí od hádání hesel (které ani nemůžeme nazvat zranitelností) až po zkoušení různých exploitů zaměřených na konkrétní verze různých CMS nebo jejich pluginů, a to často jen několik minut až hodin od jejich zveřejnění.

Z pohledu těchto dat může vyznít povzbudivě, že ze 6 milionů analyzovaných stránek se číslo průměrně infikovaných stránek při různých testech během roku pohybovalo pouze okolo 60 000, čili kolem 1%, což může indikovat zvýšení účinnosti nástrojů pro zajištění webových stránek. Pokud se však podíváme hlouběji, zjistíme, že není důvod k radosti.

Automatizace útoků na webové stránky není snadná a zejména u stránek, které nepoužívají různé CMS systémy, je potřebný netriviální manuální zásah během útoku. Pro oportunistické útočníky jsou takové stránky nezajímavé a orientují se spíše na stránky postavené na rozšířených CMS systémech.

Pokud vezmeme v úvahu, že podle daného reportu je asi 38% webových stránek postavených na jednom CMS z trojice WordPress, Joomla a Drupal, můžeme být znepokojeni zjištěním, že 20% WordPress stránek, 15% Joomla stránek a 2% Drupal stránek obsahovaly alespoň 1 zranitelnost typu XSS, CSRF nebo SQL Injection.

Podle studie nemusí pomoci ani záplatování samotného CMS systému, ale je třeba dbát na záplatování nainstalovaných grafických témat a doplňkových modulů, které jsou často plné zranitelností. Toto tvrzení podporují data, podle nichž až 34% stránek s nejnovější verzí CMS Drupal obsahovalo nějakou zranitelnost, zatímco u Joomly je to 9% stránek a u WordPressu jde o 4%.

Zajímavým způsobem útoku, který se objevuje stále častěji je, že útočník odkoupí kód daného pluginu a přístup k němu a v následných aktualizacích do neškodného pluginu vloží svůj vlastní škodlivý kód nebo zranitelnost. Takový útok můžeme zařadit do supply chain útoků, o kterých jsem psal v předchozím článku. Podobným způsobem dochází k supply chain útokům u mobilních aplikací nebo rozšíření webových prohlížečů.

Co se týče účelu útoků nebo typu malwaru nalezeného na napadených stránkách, může překvapit to, že studie našla malware určený k těžbě kryptoměn, navzdory předpokladům, pouze na 2% úspěšně napadených stránek.

Takový pokles v zneužívání oběti na těžbu kryptoměn však koneckonců překvapivý není a vidíme ho nejen u webových stránek ale obecně v celém spektru útoků zaměřených na různá zařízení. Nejpravděpodobnějším důvodem je snížení cen kryptoměn. S aktuálním růstem ceny bitcoinu je asi na místě, alespoň krátkodobě, očekávat opačný trend.

Největší čísla získali standardní backdoory, webshell nebo souborové modifikace, všechny s podílem cca 50% (pro stránky, které měly více infekcí). Podle autorů studie toto může nasvědčovat tomu, že stále klesá počet zjevných a „špinavých“ útoků, které jsou snadno odhalitelné a stoupá počet tichých útoků, které se navíc soustředí na ovládnutí webové stránky namísto, v minulých letech běžných, útoků na návštěvníky těchto stránek.

Při obraně proti útokům na webové stránky stále platí standardní bezpečnostní pravidla jako je používání dostatečně silných přístupových údajů a vícefaktorová autentizace, zálohování či pravidelná kontrola a aktualizace softwaru a různých doplňkových modulů.

Z hlediska prevence najdeme různé placené ale i open source nástroje pro analýzu zabezpečení webových aplikací, které dokáží automatizovaně odhalit množství (nejen) základních zranitelností a nedostatků a tak poměrně výrazně snížit pravděpodobnost úspěšného napadení vašeho webu. Pokročilou možností je pak penetrační testování, které může být zaměřeno na různé specifické oblasti a specifický software, který na stránkách používáte.

Z reaktivních možností bych zmínil zejména použití webového firewallu, nebo alespoň kombinace různých druhů analýzy síťového provozu a analýzy webových logů, což může pomoci detekovat probíhající útoky namířené proti dané stránce a tyto útoky zablokovat.

Dávid Kosť, Lead Security Analyst, Axenta a.s.

Zdroj: sitelock.com