Öt kínai kutató a közelmúltban 14 ezer kínai kormányzati weboldal biztonsági elemzéséről publikált egy érdekes tanulmányt. Ebben arra az amúgy nem túl meglepő eredményre jutottak, hogy a felülről sürgetett fejlesztések miatt ezek a weboldalak aggasztó sérülékenységek tömkelegét rejtik.

A kutatók vizsgálták például a domainnevek feloldását, a harmadik féltől származó könyvtárak használatát, a tanúsítványszolgáltatásokat, a tartalomszolgáltató hálózatokat (Content Delivery Network, CDN), az internetszolgáltatókat, a HTTPS elterjedtségét, az IPv6 integrációját, a domainnév-feldoldást biztosító rendszer biztonsági kiterjesztésének, a DNSSEC-nek (Domain Name System Security Extensions) a bevezetését, valamint a webhelyek teljesítményét is.

Ahol vágják a fát, ott hullik a forgács?

Ha egy mondattal kellene összefoglalni: a tanulmány ott nem talált súlyos problémákat, ahol nem vizsgálódott. A kormányzati weboldalak által használt domainnevek több mint egynegyedének nincs ún. NS (name server) rekordja, amely az adott tartomány DNS rekordjainak kezelésében és közzétételében illetékes névkiszolgálókra mutat. Azaz nagyon valószínű, hogy rossz az oldalak DNS-konfigurációja, amitől megbízhatatlan a működésük.

Súlyosnak ítélték, hogy minden weboldal ugyanattól a néhány DNS-szolgáltatótól függ, ami növeli az ún. SPOF (single point of failure) jellegű sérülékenység kockázatát. Ha az egyik ilyen szolgáltató megbénul támadás vagy műszaki hiba miatt, akkor a DNS-infrastruktúra jelentős része veszélybe kerülhet.

A diverzitás hiánya másban is megmutatkozik. Négy szolgáltató (China Mobile, China Telecom, China Unicom, Alibaba Cloud) uralja a kínai internetpiac több mint 98 százalékát. Ha közül egy is kiesik, azt egész Kína megérzi.

Elavult verziók, javítatlan sérülékenységek

A rendszerek közel harmada olyan jQuery-verziót használt, ami egy négy éve azonosított, távoli illetéktelen hozzáférést biztosító sérülékenységet tartalmaz.

Gyakoriak voltak a trehányan konfigurált rendszerek is. Több mint 10 ezer webhely emiatt ki van téve a MIME (man-in-the-middle), azaz közbeékelődéses hamisítási támadásoknak, illetve ilyen nagyságrendben vannak azok az oldalak, melyeket parancsfájl-támadásokkal lehet veszélyeztetni. Több mint felüknél hiányzott az az elem, amely segíthetné a CSRF, azaz az oldalon keresztüli kéréshamisítás típusú támadások megelőzését, és ugyanennyi oldal volt védtelen clickjacking támadásokkal szemben.

A hibalista ennél hosszabb, de talán a fentiek alapján is hihető a kutatók azon véleménye, hogy több mint 10 ezer webhely szivároghat információkat privát IP-címekről, akár érzékeny információkat is a rendszer architektúrájáról.

A tanulmány megállapításai sokakban felidézhetik azt, amit az Egyesült Királyság Nemzeti Kibervédelmi Központja állapított meg pár éve a Huawei mobilhálózati eszközeiről: nem back doorok vannak a rendszerekben, hanem a súlyosan trehány fejlesztői munka tipikus "biztonsági eredményei".