不打補丁，怎樣保護CMS？

Peter+Sayer

編譯 Charles

在安全補丁得以應用之前，攻擊者通過對這些補丁進行逆向工程剖析，試圖在CMS上做手腳。德國程序員找到了阻止他們的方法。

在短短的四個小時內，犯罪分子就能夠完成對開源內容管理系統（CMS）軟件補丁的逆向工程剖析，讓數百萬個網站去濫發垃圾郵件，變成惡意軟件主機，甚至是DDoS攻擊者。

David Jardin是德國協會“CMS Garden”的會員，該協會旨在促進包括Drupal、Joomla、WordPress在內的開源CMS軟件的應用，他說：“一般的網站負責人很少有時間去應用更新。”

為幫助普通用戶盡快打好補丁，CMS Garden正在參與一項政府資助的項目，即安全網站和內容管理系統（Siwecos），目的是讓中小企業的網站更安全。

Jardin介紹說，Siwecos由三部分組成。

項目參與者包括波鴻大學的研究人員，他們正在開發一個掃描引擎，把企業網站可能存在的安全問題及時反饋給企業領導，例如SSL配置錯誤或者跨網站腳本攻擊漏洞等。

CMS Garden參與了第二部分的工作：為不同的開源CMS提供一系列插件，獲取CMS管理接口的反饋，這樣，網站負責人就能夠根據這些信息立即采取行動。

第三部分是Jardin最感興趣的，這是一種服務，幫助網站托管公司過濾掉針對有漏洞的CMS的攻擊。

Jardin把該項目推薦給了短信、惡意軟件和移動反濫用工作組（M3AAWG，該組織旨在打擊濫用互聯網基礎設施）在六月舉行的一次會議。

正如Jardin所看到的，CMS Garden所提倡的系統本質上是安全的。問題是，網站負責人在使用網站時沒有時間讓系統保持最新狀態。那么，最好把他們從整個鏈路中去掉。

他說：“我想通過直接與網絡主機溝通，把網站負責人從責任鏈上去掉。”

他并沒有指望網絡主機為他們的客戶打上CMS補丁。相反，在補丁發布的同時，他為網絡應用程序防火墻提供網絡主機能夠立即使用的過濾規則，以防止利用補丁的漏洞。

他說：“他們可以立即應用它，為最終用戶提供服務，給他們更多的時間去打上補丁。我們在Joomla項目以及一些德國網絡主機上小規模的開展此項工作有相當一段時間了，反響很大。”

在最近的一次事件中，Joomla補丁發布后的第一天，一家德國托管公司應用過濾器阻止了每小時15萬次的請求。

網絡主機可以為自己創建這樣的過濾器，但這也涉及到他們對補丁進行逆向工程剖析。Jardin說，交給像CMS Garden這樣的工作組是更快更安全的方法。

“對于CMS群體，我們非常了解我們的系統，因此，這不是什么大事。我們可以找到一條沒有太多副作用的規則，沒有誤報，對于網絡托管公司來說，這是免費而且安全的。”

雖然Siwecos項目是由德國政府資助的，主要應用于德國中小企業，但互聯網是沒有國界的。

Jardin說：“即使是德國公司也在世界各地托管他們的主機。我們幾乎和每個人交談，所以這更像是一個全球性的計劃。”

Siwecos掃描系統將使用模塊化的API。它現在正在進行封閉beta測試，而它的開發者期望在九月之前放開，那時他們將發布它的第一個插件。正在開發的模塊包括用于掃描與安全相關的HTTP報頭的模塊，例如內容安全策略報頭。

Jardin說：“內容安全策略報頭關系非常大，因為即使網站被感染了，它們也能防止漏洞被利用。”還有掃描模塊，用于驗證服務器設置中的SSL和TLS證書，檢查HTML代碼中是否有惡意軟件。

Jardin也希望在九月份推出網絡主機服務。這將從一個私人郵件列表開始，在給CMS打上補丁或者采取其他保護措施之前，這避免了給犯罪分子更多的線索。

“如果您看一下防火墻規則就會發現，對于有經驗的攻擊者來說，構建一個漏洞是相當容易的。這就是為什么我們要限制接受者范圍的原因所在。”

Siwecos的網絡應用程序防火墻與WordPress對某些網絡主機所做的工作有些重疊。他說，Siwecos可應用于多個CMS項目，今后可以開放給更多的網絡主機。“我們項目的優點在于它是所有CMS相關信息的中心所在。”

據Jardin，商業網絡應用程序防火墻廠商對項目不必有什么擔心，而且會大有收獲。

“他們不了解我們的應用程序，他們預先不會知道安全問題的任何信息。他們至少需要24至48小時的時間才能配置好規則，而我們一開始就能提供這些規則。這是全新的東西。”

Peter Sayer是IDG新聞服務巴黎局局長，其工作涉及歐洲公共政策、人工智能、區塊鏈和其他技術突發新聞。endprint