Il 12% dei siti di ecommerce espone backup privati

Feb 10, 2023 Dario Orlandi Approfondimenti, Attacchi, In evidenza, RSS, Vulnerabilità 0

Sansec ha pubblicato una nuova analisi in cui ha mostrato come un negozio online su nove esponga involontariamente backup privati: un errore che potrebbe avere conseguenze molto gravi, perché i backup contengono password e altre informazioni sensibili.

Proprio attraverso questi file, i criminali informatici sono già riusciti in varie occasioni a prendere il controllo dei siti, intercettare i pagamenti o semplicemente estorcere denaro ai proprietari.

Sansec ha preso in esame oltre 2000 negozi online di varie dimensioni, e in 250 casi i ricercatori hanno trovato archivi (come file Zip, Sql e Tar) nella cartella Web pubblica senza restrizioni di accesso. Questi backup contengono password di database, Url privati per l’accesso a pagine di amministrazione, chiavi API e dati completi dei clienti.

Una facile preda

La scoperta di backup pubblici non protetti può essere molto semplice per un utente malintenzionato abbastanza competente, che può impostate attacchi automatizzati per testare migliaia di possibili denominazioni e percorsi per i backup.

Sansec ha trovato centinaia di siti che espongono file di backup (Fonte: Sansec)

Questi attacchi possono continuare indefinitamente fino a quando non viene trovato un risultato valido; se un utente malintenzionato riuscisse a scaricare un backup privato, potrebbe essere in grado di ottenere informazioni molto preziose sensibili, come password di database, Url di amministratore segreto e dati dei clienti.

La ricerca di Sansec ha rilevato diversi pattern di attacco già in azione, provenienti da molti Ip di origine; questo suggerisce che vulnerabilità di questo genere siano ben note alla criminalità informatica e qualcuno le stia già sfruttando.

Proprio per questo è fondamentale che le organizzazioni adottino misure per proteggere i propri backup e prevenire eventuali perdite di dati o accessi non autorizzati.

È quindi essenziale verificare se le impostazioni del proprio store prevedono che i backup siano salvati all’interno di cartelle accessibili via Web. Per tutti i file eventualmente trovati, bisogna poi verificare se i permessi assegnati loro li rendono effettivamente scaricabili tramite una richiesta via browser.

Un attacco brute force cerca di individuare backup accessibili da remoto (Fonte: Sansec)

Correre ai ripari

Se i backup sono esposti da tempo, bisogna inoltre analizzare la configurazione del sito alla ricerca di eventuali segni di compromissione: Sansec suggerisce di controllare i file di registro del server Web per verificare se il backup è stato scaricato, controllare se sono stati aggiunti eventuali account amministratore.

Bisogna poi modificare tutte le password, in particolare quelle degli account amministratore, gli accessi Ssh/Ftp e le password del database, e attivare se disponibile l’autenticazione a due fattori per tutti gli utenti.

È anche importante verificare che il sito non esponga nessun pannello di amministrazione remoto, come phpMyAdmin o Adminer. Sansec suggerisce anche di utilizzare il suo scanner di sicurezza backend eComscan, sviluppato proprio per accelerare questo tipo di indagini.

Per evitare problemi analoghi in futuro, Sansec suggerisce l’utilizzo di un file system in sola lettura che non consenta la creazione di file ad hoc; questa tecnologia è presente nella piattaforma Adobe Commerce, ma se si usa un altro provider potrebbe invece non essere disponibile.

È comunque consigliabile utilizzare altre soluzioni di backup, che non prevedano la creazione di file accessibile da remoto; inoltre, si può configurare il server Web per limitare l’accesso ad alcune tipologie di file, come per esempio Zip, Gz, Tgz, Tar E Sql.

Restrizioni di accesso possono essere aggiunte al file htaccess (per il server Apache) o alla configurazione principale di Nginx.

Condividi l'articolo