Experts maken geen deel uit van de redactie. Zij vertegenwoordigen dus niet het redactionele gedachtegoed van Computable.

Het NCSC als nationale beiaard

18-01-2013 14:15 | Door Ewout Dekkinga | Lees meer artikelen over: Exploits, Hacking, Patches, CMS, Joomla!, Ruby (on Rails) | Er zijn 6 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Ewout Dekkinga
Ewout Dekkinga

IT Architect Unisys

Expert van Computable voor de topics: Datacenters, Cloud Computing en Systeembeheer

Meer

De lekken in een framework als Ruby krijgen natuurlijk meer aandacht omdat bekende diensten hiervan gebruik maken. Maar NCSC waarschuwt ook dat Joomla, één van de meest populaire cms-frameworks, een ernstig beveiligingsprobleem heeft. Om hoeveel websites het hier gaat is een beetje onduidelijk maar sinds 2007 is dit framework dertigmiljoen keer gedownload. Dat is dus een interessant aanvalsdoel voor kwaadwillenden.

Nu maakte Nationale Cybersecurity Center dus op 9 januari de  kwetsbaarheid in de Joomla Content Editor (com_jce) bekend. Dit omdat er een exploit op internet in omloop is waarmee kwaadwillenden code op websites zetten. Het probleem was namelijk al in april 2012 gevonden en een maand later opgelost. Maar omdat de meeste websites niet alleen gebruik maken van het core-systeem en al helemaal niet de standaard template gebruiken, stellen dus de meesten de migratie uit. En eerlijk gezegd had ik ook niet zo’n drang om in de kerstvakantie te gaan zitten hobbyen, maar wat moet, dat moet.

Dataverkeer

Want dat binnen het top-level NL domein actief gebruik gemaakt wordt van de exploit had ik al proefondervindelijk vastgesteld. Zo zag ik in november dat het dataverkeer van de website een verdachte toename liet zien. Blijkbaar is niets meer heilig, want we hebben het over een website van een vereniging, één van de vele (tien)duizenden en zonder geheimen. Het liefdewerk van vrijwilligers die onbetaald hun club helpen en niet zitten te wachten op overschrijding van de datalimiet of andere verrassingen.

Nader onderzoek liet zien dat een onverlaat er stiekem software op had geplaatst. En toen na eerste verwijdering het spel herhaald werd zat er dus niets anders op dan te migreren naar de laatste versie van Joomla. Maar omdat migratie van templates en maatwerk nu eenmaal tijd kost, stellen veel webmasters de hoog nodige aanpassingen nog steeds uit. Overstap van Joomla 1.5.x naar 2.5.x is namelijk nogal rigoureus door de vele veranderingen (en verbeteringen) die er gemaakt zijn.

Framed werk

Het voordeel van een framework is direct ook een nadeel omdat je hiermee dus afhankelijk wordt van anderen. Zowel in oplossen van beveiligingsproblemen als met ‘migratie planning’ wanneer de patch geen minor update is, maar major doordat het achterliggende systeem gewijzigd wordt. Dit wordt versterkt als het framework de basis is voor maatwerk, de ‘heipalen’ waarop veel oplossingen gebouwd zijn. En populariteit zorgt ervoor dat het een interessant doel wordt, want een gevonden lek heeft een grote reikwijdte en is vaak ook niet zo snel gedicht. Vergeet ook niet dat er tijd ligt tussen ontdekking, vaak door hackers die aan goede zijde van de moraal staan, en het dichten ervan met een update.

Betreffende de hackers die aan de goede kant staan zijn er namelijk ook security frameworks die met regelmaat nieuwe gevaren publiceren, die soms een even grote of nog grotere impact hebben dan geconstateerde problemen in Ruby. Gevaar zit namelijk niet zo zeer in de gaten die ontdekt en gedicht zijn, maar in de rest van het  vergiet, de zero-day exploits, lekken die nog niet ontdekt zijn en waarvoor dus ook geen fix of waarschuwing is. Hypocriete is dat deze blijkbaar wel verhandeld mogen worden maar niet gebruikt. Dus wie maakt zich nog druk om de Patriot Act?

Joepla

Terug naar de migratie van Joomla, die voor de core-componenten een fluitje van een cent was. Via een back-up kon ik eenvoudig een offlinekopie binnen XAMPP maken en met jUpgrade de database migreren. Tot zover het goede nieuws, want om tussen oude en nieuwe website een spelletje ‘zoek de zeven verschillen’ mogelijk te maken was wat meer werk nodig. Maar na puzzelen met stylesheets is het toch gelukt en tot op heden lijkt het bezoekers niet op te vallen dat de website op een andere versie loopt. Nou ja, hopelijk valt het bij één bezoeker wel op, maar die is dus persona non grata.
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Sponsored content
Kennispartner
Kaseya levert IT-systeembeheersoftware aan managed serviceproviders (MSP'S) en middelgrote ondernemingen. De software helpt bij een efficiënter beheer van de IT-omgeving; dat leidde bij menig klant tot succesvolle verbetering van business-processen door middel van tijds- en kostenbesparingen. Lees meer
Gerelateerde artikelen

13-12-13  OM deelt malware-info met securitybranche