案例事實與背景
這家電商5年前還在使用視窗2003的系統,微軟已經宣布不再支援,但因為公司多年下來投資在這個系統很多人力與資源,以致於無法短期內升級到Windows 2008 R2,不過已安裝軟體WAF保護,弱點掃描只找到SSL的弱點,訪談人員說明這個系統微軟已經不再支援,尤其業界公認TLS 1.2可以提供安全的交易環境? 因此只要解決這個問題,資安事件應該不會發生,但事件依舊持續。
(一)技術人員安裝一台Linux 主機執行TLS1.2 ,再從路由器將HTTPS導向這部linux 主機,其餘不變。原本以為解決SSL的問題之後,情況就會改善,可是情況依舊。
(二)經過鑑識後,發現原來它的資料庫另外提供其他網站使用,公司的主管以為,公司的資料庫管理得很好,如果額外承接另外一部網站儲存資料會是另一筆收入。這個外部網站使用fckeditor,它具有上傳的弱點,駭客利用他將木馬植入網站,藉由這個網站存取資料庫,也建立其他資料庫管理員的帳號。
(三) 原本不安全的視窗2003系統環境,經過WAF以及TLS1.2 的建置,已經漸低了風險。 但是沒料到與外部系統銜接,卻沒有任何控制措施,這就是風險接受,不算意外的承受個資外洩的風險。
資安事件處理的經過
(一)原本網站已經有了WAF,應用程式也經歷10 餘年的調教,從弱點掃描只找到SSL 的弱點,因此改善的方向從升級至TLS1.2 著手,他們用Linux 接受443 port的方式很好。
(二)沒有料到原本足以抵擋外部攻擊的系統與其他網站分享同一個資料庫導致資安事件, 因為那個網站存在外部軟體的弱點,使用Fckeditor上傳的弱點,很多駭客很喜歡找這個程式並加以利用。
(三)移除這個網站的連結之後,就不再發生資安事件。它原本的防禦機制因為網路埠 443 已經轉換到linux,網路埠80 以及表單都由WAF
保護,只要攻擊面積縮小,降低了風險的發生。
後續的追蹤
經過了4年,雖然常常聯絡資安承辦人,確認一切正常。
使用逾期的作業系統這個作法雖不足取,但是有效的它的WAF防護機制, 一直都有人員經常維護,遇到攻擊的樣式立即封鎖IP 一天,持續檢查防火牆的規則等等。
任何資安人員都不鼓勵使用逾期且不受支援的作業系統。
沒有留言:
張貼留言