Более чем в 50% CMS обнаружились проблемы с защитой паролей

19 июня 2019 г., среда

Слабые хеш-функции создают угрозу для посетителей сайтов на базе многих открытых систем и веб-фреймворков.

Исследователи из университета Пирея (University of Piraeus) в Греции сообщили, что более половины систем управления контентом используют устаревшие функции шифрования для защиты пользовательских паролей. Среди уязвимых CMS эксперты назвали WordPress, miniBB, SugarCRM и другие.

Аналитики изучили 49 систем для управления контентом и 47 фреймворков для веб-приложений. В каждом случае они проверяли, какие средства разработчики предусмотрели для безопасности кодовых фраз.

Как выяснилось, более 25% CMS шифруют пароли с помощью алгоритмов MD5 и SHA1, которые на данный момент считаются слабыми. Первую функцию эксперты взломали еще в 2014 году, вторая потеряла актуальность в 2017-м. Еще около 30% систем применяют SHA256, SHA512 или PBKDF2, оставляя преступникам возможность подобрать пароли в приемлемые сроки. Лишь 40% CMS, включая Joomla, phpBB, vBulletin, используют устойчивый алгоритм BCRYPT.

Создатели уязвимых решений нередко пренебрегают и дополнительными мерами защиты. В 37% случаев разработчики ограничились однократным хешированием, несмотря на то, что повторные прогоны функции значительно затрудняют взлом.

Около 14% отказались от применения «соли» — случайной последовательности символов, которая добавляется к уже зашифрованному слову. Наконец, почти 40% CMS не устанавливают минимальную длину кодовой фразы, а WordPress и Drupal вовсе позволяют использовать однозначные пароли.

Не лучшим образом обстоят дела у веб-фреймворков, используемых для создания сайтов. Разработчики этих библиотек тоже применяют слабые алгоритмы хеширования (23% участников исследования) и отказываются от дополнительных итераций (13%). Почти в половине случаев (49%) у таких решений вовсе нет собственных функций шифрования, что ставит под угрозу безопасность приложений, созданных на основе этих фреймворков.

Эксперты отмечают, что в результате ответственность за защиту данных ложится на веб-администраторов, многие из которых не обладают достаточными знаниями и пользуются настройками по умолчанию. В результате от пренебрежения безопасностью страдают интернет-посетители.

Учитывая, что те же WordPress-площадки находятся под постоянным прицелом киберпреступников, ситуация становится опасной. Исследователи призывают веб-разработчиков повысить свои стандарты безопасности, а также разрешить владельцам сайтов откатываться на предыдущие версии CMS.

Тема борьбы со слабыми технологиями шифрования нередко попадает в повестку дня. Ранее компании Google, Mozilla, Facebook и Microsoft отказались от поддержки устаревшего алгоритма SHA-1. В июне об аналогичном решении объявила Apple. Эксперты полагают, что эти меры затруднят преступникам организацию фишинговых атак и MitM-кампаний, а также повысят безопасность пользовательских данных.

Threatpost