V posledních dnech začal CSIRT, hromadně rozesílat emaily s varováním na neaktuální verze WordPress, na emaily uvedené v kontaktech .cz domén. Pokud jste také jeden dostali, tak nepanikařte. Tvrzení, že váš WordPress je bezpečnostním rizikem může být značně přehnané.
Kdo anebo co je CSIRT
CSIRT je zkratkou pro Computer Security Incident Response Team. Jedná se o tým lidí, kteří mají na starosti kybernetickou bezpečnost. Konkrétně CSIRT.CZ, od kterého emaily chodí má za úkol prevenci, školení, osvětu a udržování vztahů s dalšími CSIRT týmy po světě. Spadá pod organizaci CZ NIC.
Akce oskenujeme všechny .cz domény a upozorníme majitele na starší CMS
CSIRT rozjel v tichosti akci, kdy prošel všechny .cz domény a hledal na nich známé redakční systémy a hodně používané pluginy. Pokud našel nějaký starší, tak na email uvedený jako kontakt u domény poslal email s upozorněním.
Tento email původně upozornil na jinou doménu. V zájmu anonymity klienta jsem nahradil doménu blogu CZ NIC, který využívá také „zastaralý“ WordPress.
Bohužel celá akce vedla k poměrně chaotické situaci, připomínající spíše rozsáhlou malwarovou kampaň. Za „zastaralé“ byly označeny i redakční systémy, které mají všechny potřebné bezpečnostní aktualizaci. Tyto starší verze používá hodně lidí kvůli nekompatibilitě s pluginy. Emaily navíc byly rozeslány na majitele domén, nikoliv administrátorům redakčních systémů. Takže ti pak často rozčíleni a vystrašeni psali svým tvůrcům stránek, co se děje. V době dovolených prostě ideální načasování.
Proč to dělat jednoduše když to jde složitě
Celá akce se přitom dala vyřešit poměrně elegantně. Stačilo oslovit s nabídkou spolupráce hostingové společnosti, které mají kontakty na administrátory webů, tedy lidi kteří služby často za své zákazníky zřizovali. Technici z hostingu jim mohli email přeposlat, případně použít vlastní vzor. Takto by se vyřešil i problém s nedůvěryhodným odesilatelem. Většina lidí naprosto netuší co nebo kdo je vlastně ta CSIRT a co po nich chce. Navíc adresa složená z anglických slov (security–scan@csirt.cz) pro Čecha, který tomu nerozumí vypadá opravdu podezřele. Všechny klienty učíme, že takovéto emaily mazat a neřešit. Podobné emaily totiž připomínají phishing a končí na spamlistech. Naproti tomu hosting, kde máte své služby, jednak ví kam email poslat a hlavně jej znáte. Všechna varování si pozorně a důkladně čtete, protože ignorování může mít fatální následky.
Příště by se tedy měl CSIRT řídit jedním ze svých cílů (Spolupráce se subjekty v rámci ČR – ISP…) a dát alespoň vědět hostingům dopředu, ať na podobnou hurá akci mohou své zákazníky upozornit.
Závěr
Pokud používáte WordPress, tak vám podobná varování posílá váš WordPress automaticky, ovšem jen ta skutečně relevantní a hlavně v době kdy to opravdu potřebujete (hned jak vyjde nová aktualizace, upozornění na zastaralou verzi). Samozřejmě s nainstalovaným bezpečnostním pluginem WordFence, což je dnes standard, máte navíc přehled i o pluginech. Mimochodem pokud nepoužíváte bezpečnostní plugin, tak v případě opravdu nebezpečné zranitelnosti, jsou otázkou napadení hodiny.
Poznámka k WordPress – Podle stránek WordPress.org je oficiálně bezpečná pouze poslední major verze s poslední bezpečnostní aktualizací. Aktualizace však vychází i na starší verze. V případě že nevyjde, tak jste na to upozorněni emailem přímo z instalace.
