Raport Sucuri: które CMSy są najczęściej infekowane, w jaki sposób i po co

Raport Sucuri

Ekipa Sucuri opublikowała ciekawy raport na temat zainfekowanych stron internetowych. Raport obejmuje pierwszy kwartał 2016 roku i oparty jest na danych zebranych z ponad 11 tysięcy serwisów. Pokazuje on nie tylko jakie CMSy były najczęściej infekowane przez złośliwe oprogramowanie, ale również w jaki sposób się to działo oraz do czego później zainfekowane strony były wykorzystywane.

Na wstępie warto wspomnieć o skali zjawiska. Według raportu, samo tylko Google blokuje tygodniowo około 20 tysięcy stron zawierających malware (złośliwe oprogramowanie) i około 50 tysięcy stron podejrzanych o phishing (wyłudzanie danych). Liczby te są wręcz zatrważające, szczególnie gdy weźmiemy pod uwagę, że prawdopodobnie znaczna większość blokowanych stron to strony zainfekowane.

Kto jest liderem wśród infekowanych CMSów?

Najczęściej infekowane CMSy

Jak nietrudno było przewidzieć, najczęściej infekowanym CMSem jest WordPress (78%). Wynika to z kilku czynników, z których najważniejszym jest jego olbrzymia popularność tego CMSa, przez co tworzenie złośliwego oprogramowania ukierunkowanego na tę platformę jest po prostu najbardziej opłacalne. Nie bez znaczenia jest też duża liczba dostępnych motywów i wtyczek, w których dziury są często wykorzystywane przez atakujących.

Na drugim miejscu, ale daleko za liderem zestawienia, znajduje się Joomla (14%), na trzeciej pozycji uplasowało się Magento (5%), a kolejne miejsce zajmuje Drupal (2%). Celowo pomijam strony działające na autorskim oprogramowaniu, przedstawione na powyższym wykresie jako „Undefined”.

Kto nie lubi aktualizacji?

Nieaktualizowane CMSy

Przyznam szczerze, że to zestawienie jest dla mnie nieco zaskakujące. Okazuje się bowiem, że użytkownicy WordPressa najchętniej go aktualizują – tylko (chociaż w normalnych warunkach byłoby to „aż”) 56% spośród zainfekowanych stron korzystało z nieaktualnej wersji CMSa. Dla porównania, aż 97% stron korzystających z Magento używało jego nieaktualnej wersji. Niewiele lepiej było w przypadku Joomli (85%) i Drupala (81%).

Ekipa odpowiedzialna za rozwój WordPressa w miarę dobrze radzi sobie z zachowaniem wstecznej kompatybilności, dzięki czemu aktualizacje do kolejnych wersji głównych przebiegają w miarę bezproblemowo (zakładając, że korzystamy z poprawnie napisanych wtyczek i motywów). Inna sprawa, że dla wszystkich wymienionych CMSów wydawane są poprawki błędów związanych z bezpieczeństwem, które można instalować bez obaw o to, że coś się na stronie zepsuje (nie zawierają one żadnych nowych funkcji ani poważniejszych zmian).

W raporcie możemy przeczytać, że taki stan rzeczy może mieć też związek z brakiem osób, które mogłyby wykonywać regularne uaktualnienia. Być może coś w tym jest, bo na przykład stawki specjalistów od Magento są nawet kilkukrotnie wyższe niż specjalistów od WordPressa.

Jak najczęściej infekowany jest WordPress?

Najczęściej wykorzystywane luki

Aż 25% infekcji odbywa się przez luki w tylko trzech wtyczkach.

Najpopularniejszą z nich jest Slider Revolution (znana też jako RevSlider). Odkryta w niej na początku 2014 roku luka do dzisiaj jest bardzo aktywnie wykorzystywana przez twórców złośliwego oprogramowania.

Na drugim miejscu tego niechlubnego zestawienia znajduje się wtyczka Gravity Forms, w której poważną lukę odkryto w marcu 2015.

Trzecie miejsce zajmuje TimThumb – skrypt do automatycznego skalowania obrazków, który jeszcze niedawno był często wykorzystywany przez twórców komercyjnych motywów, a który od września 2014 nie jest już wspierany przez autora. Niestety, wciąż istnieje mnóstwo stron, które korzystają z motywów zawierających stare, „dziurawe” wersje TimThumba.

W jaki sposób wykorzystywane są zainfekowane strony?

Rodzaje złośliwego oprogramowania

Pisałem już o tym, co zwykle dzieje się z zainfekowanymi stronami. Raport Sucuri pokazuje nieco dokładnie, do czego atakujący wykorzystują przejęte serwisy. Aż 68% złośliwego oprogramowania zostawia „tylną furtkę”, przez którą twórcy mogą wykorzystywać stronę do swoich celów (wykonując na niej jakiś kod czy infekując ją po raz kolejny). W 60% przypadków zainfekowaną stronę wykorzystywano do dystrybucji złośliwego oprogramowania. 32% infekcji ma na celu tak zwany SEO Spam, czyli wykorzystywanie przejętej strony do poprawy wyników innych stron (głównie przez zamieszczanie linków). W 9% przypadków zainfekowane strony były wykorzystywane jako narzędzia do kolejnych ataków. 5% przejętych serwisów używano do rozsyłania spamu, a 3% do przekierowywania użytkowników na inne strony i wyłudzania danych. W 4% przypadków zainfekowaną stronę podmieniano na inną.

W raporcie wspomniano również o najczęściej występujących złośliwych skryptach, z których najpopularniejszym jest Filesman. Osoby zainteresowane tematem odsyłam do bazy wiedzy Sucuri, gdzie można znaleźć mnóstwo informacji na temat oprogramowania infekującego strony internetowe.

Zachęcam do zapoznania się z całym raportem, który jest dostępny do pobrania (oczywiście za darmo) na stronie Sucuri.

Bezpośredni link