Обеспечение безопасности систем управления контентом (CMS)

[Carder]

Уязвимости безопасности в системах управления контентом (CMS), установленных на веб-серверах организаций, часто используются злоумышленниками. После взлома CMS веб-сервер можно использовать в качестве инфраструктуры для облегчения целенаправленных попыток вторжения.

Введение​

Безопасность внешней инфраструктуры имеет решающее значение для организаций при рассмотрении безопасности своей сети в целом. Даже если внешняя инфраструктура не содержит конфиденциальной информации, все равно существует значительный риск для репутации организаций, если внешняя инфраструктура будет взломана.
Уязвимости безопасности в системах управления контентом (CMS), установленных на веб-серверах организаций, часто используются злоумышленниками. После взлома CMS веб-сервер можно использовать в качестве инфраструктуры для облегчения целенаправленных попыток вторжения.
В этом документе описаны стратегии выявления и минимизации потенциального риска для веб-серверов, использующих CMS. Целевая аудитория - это лица, ответственные за разработку и защиту веб-сайтов или веб-приложений с использованием CMS.

Риски для систем управления контентом​

Злоумышленник может использовать автоматизированные инструменты для сканирования Интернета на наличие уязвимостей. Если обнаружена уязвимость в системе безопасности, злоумышленник может попытаться использовать ее, чтобы получить доступ к веб-серверу. Обычно такие компромиссы являются конъюнктурными и являются результатом плохой защиты жертвы, а не целевого кибер-вторжения.
После взлома CMS злоумышленник может воспользоваться своим доступом к:

• получить доступ к аутентифицированным и привилегированным областям веб-приложения
• загружать вредоносные программы на веб-сервер для облегчения удаленного доступа, например, веб-оболочки [1] или инструменты удаленного администрирования (RAT).
• внедрять вредоносный контент на легитимные веб-страницы.

Хотя веб-сервер может размещать только общедоступную информацию, компрометация веб-сервера организации имеет большое значение, поскольку злоумышленник может использовать доверие своих пользователей. Кроме того, злоумышленник может использовать скомпрометированный веб-сервер как часть атаки «водопой» или в качестве инфраструктуры управления и контроля для облегчения других вторжений, например, для компрометации организации с помощью вредоносного ПО, настроенного для получения команд от скомпрометированного веб-сервера.

Минимизация рисков и повышение безопасности CMS​

Наиболее частые причины компрометации CMS связаны с нарушениями безопасности. Некоторые из наиболее эффективных средств защиты перечислены ниже.

Основной хост​

В качестве альтернативы размещению и поддержке CMS в вашей собственной инфраструктуре рассмотрите возможность использования услуги управляемого хостинга CMS. Управляемые службы хостинга CMS поддерживают веб-инфраструктуру и приложения для управления контентом, предлагая поддержку и способствующие своевременной установке исправлений.
Государственные клиенты могут использовать GovCMS, которая представляет собой службу хостинга для веб-сайтов на основе Drupal.

Управление исправлениями​

Распространенной причиной кибер-вторжений является запуск устаревшего веб-сервера и CMS. В некоторых случаях это делает эксплуатацию CMS тривиальной. Этот риск можно минимизировать, установив установленный процесс тестирования и развертывания исправлений для CMS, а также установив исправления для операционной системы хоста и сторонних приложений, включая темы, фреймворки и библиотеки, используемые CMS.
CMS работает на пакете программного обеспечения, известном как веб-стек. Кроме того, организации могут использовать сторонние приложения или специальный код для конкретного сайта. Все эти компоненты (как показано ниже) необходимо исправить, поскольку один уязвимый компонент может поставить под угрозу безопасность других уровней.

Оценка уязвимости установок CMS​

Меры безопасности, которые помогают в оценке установок CMS на наличие уязвимостей, включают:

• использование инструментов для сканирования установок CMS на наличие уязвимостей, например, специфических для CMS инструментов, таких как WPScan для WordPress и модуль Security Review для Drupal.
• проведение оценки уязвимости пользовательского кода или модулей, которые используются для развертывания CMS.

Управление аккаунтом​

Плохое управление законным доступом может привести к компрометации CMS. Этот риск можно свести к минимуму:

• изменение имен пользователей и паролей по умолчанию, в том числе для всех сопутствующих услуг
• использование надежных парольных фраз
• обеспечение того, чтобы парольные фразы сохранялись CMS как соленые хэши, а не в виде открытого текста
• ограничение доступа к административному интерфейсу для CMS с утвержденных или внутренних IP-адресов.

Укрепление установок CMS​

Меры безопасности, которые помогают в усилении защиты установок CMS, включают:

• использование доверенных и поддерживаемых сторонних плагинов для CMS
• отключение ненужного функционала и плагинов
• отключение или удаление подробных сообщений об отладке или ошибках на веб-страницах CMS; веб-страницы, которые могут раскрывать конфиденциальную отладочную информацию, например страницы phpinfo (), также должны быть удалены.
• удаление информации о версии, которая может отображаться по умолчанию на веб-страницах CMS, например, в нижнем колонтитуле страницы или в метатегах на каждой веб-странице; обратите внимание, что по-прежнему можно определить тип и версию CMS с помощью автоматизированных инструментов, таких как BlindElephant [3].
• следуя советам поставщика по передовым методам защиты установок CMS.

Мониторинг установок CMS​

Меры безопасности, которые помогают обнаруживать несанкционированное изменение содержимого, размещенного на CMS, включают:

• использование управления изменениями для управления развертыванием новых версий содержимого веб-страницы
• использование системы контроля версий для управления разработкой пользовательского кода
• использование мониторинга целостности файлов для управления и обнаружения несанкционированных изменений веб-страниц.

Службы мониторинга, которые отслеживают взломанные веб-сайты, такие как https://www.zone-h.org и http://www.xssed.com, можно использовать для проверки того, не был ли веб-сайт поврежден. Эти веб-сайты ограничены тем, что они полагаются на отчеты пользователей и, следовательно, обычно перечисляют только публичные искажения веб-сайтов. Маловероятно, что в случае взлома CMS и использования ее в качестве инфраструктуры управления и контроля, она будет указана на этих типах веб-сайтов.