Update uw CMS en applicatie frameworks
Jaren geleden werd gebruik van Linux gezien als een veilige keuze om infecties met virussen en malware te voorkomen. Dat komt onder andere doordat de architectuur van Linux en de configuratiemogelijkheden, mits goed toegepast, het aanvallers moeilijk maakt om een Linux systeem te infecteren. Bovendien was het marktaandeel van Linux destijds kleiner dan tegenwoordig, waardoor het voor aanvallers niet loonde om zich op Linux te richten.
Echter, door de groei van het gebruik van Linux is dit argument aan het veranderen. Steeds meer servers, laptops en andere apparaten maken gebruik van een Linux-varianten, waardoor onderzoek naar Linux kwetsbaarheden interessanter wordt voor aanvallers. Het groeiende gebruik en vooral de afhankelijkheid van applicaties die op Linux-servers draaien, geven aanvallers ook de mogelijkheid om hogere losgeld-eisen te stellen bij een succesvolle hack.
Als gevolg daarvan zien we de laatste tijd steeds meer meldingen van Linux-malware in het nieuws. Onze Security Officer bij Opserve houdt hiervan een lijst bij en we hebben in de laatste 8 maanden maar liefst 27 nieuwe malware producten vastgelegd.
Bij elke nieuwe melding van malware, onderzoeken we hoe deze malware een Linux systeem aanvalt. In veel gevallen worden deze aanvalsmethoden echter al geblokkeerd door de standaard maatregelen die we nemen bij de intake van een server. In de afgelopen maanden hebben we extra controles toegevoegd aan onze server monitoring- en audit-software om deze maatregelen nog beter te controleren.
Wat we nu echter zien is dat er ook malware verschijnt die niet direct Linux of basis serversoftware aanvalt, maar zich richt op onveilige configuratie en kwetsbaarheden in andere softwarecomponenten. Denk bijvoorbeeld aan kwetsbaarheden in CMS systemen zoals Wordpress, Joomla, Drupal, Magento, Prestashop en OpenCart, en de plugins die in deze CMS systemen of in frameworks zoals Laravel en Node.js libraries. Als deze CMS software of frameworks niet worden bijgewerkt, biedt dit malware de mogelijkheid om een server aan te vallen.
Aanvalstechnieken op kwetsbaarheden in CMS systemen en frameworks zijn niet nieuw, maar we zien dat dit steeds vaker wordt toegepast. Bovendien is er een trend zichtbaar waarbij kwetsbaarheden die bekend worden gemaakt steeds sneller worden aangevallen, soms zelfs al binnen enkele uren na het bekend worden van een kwetsbaarheid.
Maatregelen
Gelukkig zijn er verschillende maatregelen die je kunt nemen om het risico en de impact van malware die kwetsbaarheden aanvalt te verkleinen, zoals:
- Het up-to-date houden van CMS systemen, plugins, frameworks en libraries door de applicatiebeheerder op een server. Dit kan handmatig worden gedaan, maar sommige CMS systemen bieden ook automatische updates. Er zijn ook tools zoals Patchman die automatisch die kwetsbaarheden in CMS systemen en plugins automatisch herstellen. Voor het bijwerken van libraries in applicaties zijn er tools als Dependabot (geïntegreerd in GitHub) en RenovateBot (geschikt voor andere Git providers).
- Het gebruik van een Web Application Firewall (WAF) die requests met verdachte patronen blokkeert. Het is belangrijk bij de inzet van een WAF deze frequent bij te werken om nieuwe aanvallen tegen te houden. Opserve kan de ModSecurity WAF installeren op servers en die voorzien van een open source of betaalde ruleset die automatisch wordt bijgewerkt. Het is ook mogelijk om gebruik te maken van een externe en meer gespecialiseerde Web Application Firewalls zoals de WAF van Cloudflare of Sucuri of een in het CMS geïntegreerde firewalls zoals bijvoorbeeld Wordfence of RSFirewall.
- Het gebruik van anti-malware software om snel malware op servers te herkennen en tijdig maatregelen te nemen om de impact te verlagen. Opserve is een Managed Service Provider van Bitdefender, een toonaangevend en zeer complete anti-malware product. Opserve kan de Bitdefender GravityZone anti-malware software op Linux servers installeren en notificaties centraal monitoren.