Kiütéssel győzött a biztonsági rés

A Comodo elismerte, hogy a fórumaira regisztrált felhasználók adatai illetéktelen kezekbe kerültek. A támadáshoz egy nemrég napvilágra került biztonsági rés járult hozzá.
 

Szeptember második felében került nyilvánosságra, hogy a széles körben használt vBulletin 5 fórummotor egy súlyos sebezhetőséget tartalmaz. Szeptember 23-án megjelent az interneten a biztonsági rés (CVE-2019-16759) kihasználásához szükséges kód, amely arra is felhívta a figyelmet, hogy egy meglehetősen könnyen kiaknázható sérülékenységről van szó. A hiba tetszőleges parancsok, műveletek végrehajtását teheti lehetővé a sebezhető fórumokon.
 
Szeptember 25-én a vBulletin fejlesztői kiadták a hibajavításokat, de azok még rengeteg helyre nem kerültek fel. Ezért az Imperva úgy határozott, hogy az általa védett weboldalak esetében webes tűzfal segítségével szűri a vBulletin hibáját kihasználó támadásokat. Az aggodalom nem volt alaptalan, hiszen az utóbbi napokban több mint 10 ezer támadási kísérletet blokkolt a vállalat. A héten pedig a Cloudflare is bejelentette, hogy új biztonsági szabályokat léptetett életbe a kockázatok csökkentése érdekében. Mindez azonban a Comodo helyzetén már nem segített.
 
Hamar megtörtént a baj
 
A feketekalapos hackerek nagyon hamar ráugrottak a vBulletin sebezhetőségére, és sok egyéb célpont mellett a Comodot sem hagyták figyelmen kívül. Oly annyira nem, hogy vasárnap sikeres támadást hajtottak végre a biztonsági cég egyik fóruma ellen. Jelesül az ITarian fórumáról van szó, amely vBulletin alapokon nyugszik. Ennek a webhelynek körülbelül 45 ezer regisztrált tagja van. Ugyanakkor a Comodo nemcsak ezen a fórumon jelezte, hogy adatszivárgás történt, hanem a központi fórumán is, amely jóval több felhasználó érdeklődésére tart számot. Csakhogy a hivatalos fórumoldal már nem a vBulletinre épül, hanem az SMF (Simple Machines Forum) szolgálja ki. Így aztán joggal merül fel a kérdés, hogy akkor a Comodo központi fórumát miként hackelték meg.
 
A vizsgálatok jelenleg is zajlanak, de a legfrissebb információk szerint elképzelhető, hogy a támadók elsőként az ITarian fórumot kényszerítették térdre az ismert hiba által, majd az onnan ellopott (hitelesítő) adatokat használták fel az SMF-alapú fórum kompromittálására. A BleepingComputer szerint az egyik alvilági webhelyen már meg is jelentek azok a hirdetések, amelyek egy 170 ezer Comodo-fórum felhasználó adatait tartalmazó adatbázist reklámoznak. Ez az adatbázis neveket, e-mail címeket, IP-címeket, felhasználóneveket és kódolt jelszavakat is tartalmaz.
 
A Comodo hangsúlyozta, hogy minden jelszót titkosított (hash-elt), de ennek ellenére minden érintett felhasználót arra kér, hogy változtassák meg a jelszavaikat.
 
A Biztonságportál Prémium weboldalain további részletek olvashatók a hiba kapcsán.