W połowie marca narzędzie rozwijane przez zespół CERT Polska przekroczyło liczbę 200 tysięcy wykrytych luk i błędnych konfiguracji stron internetowych publicznych instytucji w Polsce. Łącznie przeskanowanych zostało ponad 460 tysięcy domen i subdomen.

Kogo dotyczą badania podatności stron internetowych, realizowane z wykorzystaniem Artemisa? Każdego, kto mieszka i funkcjonuje w Polsce. Wśród witryn przeskanowanych automatycznie dzięki narzędziu wdrożonemu i rozwijanemu w CERT Polska znajdują się m.in. domeny przedszkoli, szkół, uczelni wyższych, placówek służby zdrowia, banków czy jednostek samorządu terytorialnego.

Artemis bada – całkowicie za darmo – strony udostępnione w internecie w poszukiwaniu luk bezpieczeństwa i błędów konfiguracyjnych. Szczególną troską otoczone są przy tym witryny tych instytucji, z których na co dzień korzysta wielu obywateli naszego kraju, co pozwala na nieustanne monitorowanie i podnoszenie poziomu ich bezpieczeństwa.

Badanie nie obciąża systemów skanowanych instytucji, a uzyskane wyniki ujawniane są wyłącznie ich administratorom, dzięki czemu zyskują oni bezcenną wiedzę na temat wykrytych podatności i mogą wykorzystać ją do poprawy bezpieczeństwa systemów.

Warto też dodać, że w ramach ponownych testów zespół CERT Polska sprawdza, czy zostały wdrożone niezbędne poprawki. W przypadku zagrożeń ocenianych jako wysokie i po wykryciu, że niezbędne poprawki nie zostały wprowadzone, eksperci CERT Polska dodatkowo kontaktują się z daną instytucją telefonicznie.

Co zdziałał i co wykrył Artemis?

Artemis działa oficjalnie od 1 stycznia 2023 roku – od tego czasu przeskanował już łącznie 54 753 domen i adresów IP oraz 407 302 subdomen. Do tej pory Artemis wykrył aż 225 057 podatności lub błędnych konfiguracji, w tym 13 952 wiążących się z wysokim zagrożeniem.Dodatkowo 137950 zagrożeń ocenionych zostało jako średnie i 73 155 – jako niskie.

Zaczynaliśmy w styczniu 2023 roku od skanowania jednej grupy stron: jednostek samorządu terytorialnego. Obecnie skanujemy ponad 10 typów instytucji i co miesiąc wysyłamy informacje o kilkunastu tysiącach podatności i błędnych konfiguracji

– opowiada Krzysztof Zając z zespołu CERT Polska, twórca narzędzia Artemis.

Co najmniej jedną podatność lub błędną konfigurację wykryto w 74 305 przeskanowanych domenach i subdomenach.

Jakim zagrożeniom być może udało się zapobiec?

1. Ryzyko ataku przy użyciu znanych podatności.

Niektóre z podatności mogą skutkować tym, że ze strony można pobrać dane, inne pozwalają zmieniać treść strony lub np. uzyskać uprawnienia administratora.

Dzięki skanowaniu wykryto 107 751 przypadków korzystania z nieaktualnego oprogramowania, z którego część może być wykorzystana do tego typu ataku.

2. Problemy z konfiguracją SSL/TLS.

Stwarza to ryzyko przechwycenia komunikacji użytkownika ze stroną. Jeżeli dane zostaną przechwycone i pojawił się tam login i hasło, to przestępca może je poznać i zalogować się do serwisu jako uprawniony użytkownik.

Artemis pomógł ostrzec administratorów w 47 612 przypadkach takich problemów.

3. Błędnie skonfigurowane mechanizmy weryfikacji nadawcy poczty e-mail.

Stwarza to ryzyko wysyłania fałszywych e-maili z danej domeny.

Artemis wykrył 29 635 tego typu przypadków.

4. Panel administracyjny lub panel logowania dostępny publicznie.

W takim wypadku atak jest możliwy, jeśli jedno z kont (np. do bazy danych czy usługi zdalnego pulpitu), ma słabe hasło albo jeśli w usłudze występują podatności.

Artemis wykrył 18 222 przypadków tego typu podatności.

5. Upublicznienie informacji o konfiguracji serwera, listy subdomen lub listy plików w folderach na serwerze.

Może to atakującemu ułatwić rekonesans, poznanie używanego oprogramowania lub nazw plików, które nie powinny być dostępne publicznie, a w konsekwencji także umożliwić ich pobranie.

Artemis wykrył 12 861 tego typu przypadków.

6. Krytyczne lub poważne podatności, umożliwiające np. przejęcie strony lub pobranie bazy danych.

Artemis wykrył 4 897 tego typu przypadków.

7. Sytuacje, w których wrażliwe dane, takie jak kopie zapasowe, kod źródłowy, zrzuty bazy danych czy dziennik zdarzeń serwera, były dostępne publicznie.

Artemis wykrył 4 021 tego typu przypadków.

Co ciekawe, Artemis dba już o bezpieczeństwo stron internetowych nie tylko w Polsce.

Prezentujemy Artemisa na konferencjach międzynarodowych, szkolimy też inne zespoły CERT w jego obsłudze, a także wiemy, że jest wykorzystywany za granicą. Co więcej, eksperci z zagranicznych zespołów CSIRT aktywnie pomagają nam w dalszym rozwoju tego narzędzia

– wyjaśnia Krzysztof Zając. 

Na koniec słowo wyjaśnienia – w przeciwieństwie do liczb związanych z przeprowadzonym skanowaniem, CERT Polska ze względów bezpieczeństwa nie ujawnia, w których obszarach życia w Polsce lub sektorach gospodarki wykryto najwięcej podatności, zwłaszcza z podziałem na różne ich rodzaje.