Projekt ARTEMIS

W roku 2023 CERT Polska inaugurował kolejne działania poprawiające bezpieczeństwo polskiego internetu. Jednym z zainicjowanych w tym czasie projektów był Artemis.

W 2023 roku łącznie przeskanowano ok .50.6 tys. domen i adresów IP i ok. 251.7 tys. subdomen, odkrywając ponad 180 tys. podatności lub błędnych konfiguracji.

Skanowano strony i domeny:

szkół i placówek oświatowych, młodzieżowych, domów kultury, przedszkoli czy poradni psychologiczno-pedagogicznych, jednostek samorządu terytorialnego, wywozu śmieci, systemy obsługujące pocztę, domeny gov.pl, badanie na zlecenie Organu Właściwego ds. cyber bezpieczeństwa w sektorze zdrowia, uczelni - były to np. strony wydziałów, ale też domeny związane z konferencjami czy projektami naukowymi, banków, posłów, senatorów, prezydentów miast i partii politycznych w kontekście wyborów parlamentarnych w 2023 i samorządowych

w 2024, badanie na zlecenie Ministerstwa Infrastruktury, gazet i portali lokalnych, operatorów usług kluczowych, producentów automatyki przemysłowej.

Łącznie zgłoszono ok. 184.8 tys. podatności lub błędnych konfiguracji,

w tym ok. 11.6 tys. wiążących się z wysokim, ok. 106.8 tys. - średnim i ok. 66.3 tys. - niskim zagrożeniem.

Błędną konfigurację wykryto w ok. 65.8 tys. przeskanowanych domenach/subdomenach.

Znaleziono:

• ok. 78.7 tys. przypadków korzystania z nieaktualnego oprogramowania - stwarza to ryzyko ataku

przy użyciu znanych podatności - niektóre z nich mogą skutkować tym, że ze strony można pobrać

dane, inne pozwalają zmieniać treść strony lub np. uzyskać uprawnienia administratora,

• ok. 44.2 tys. przypadków problemów z konfiguracją SSL/TLS - stwarza to ryzyko przechwycenia ko-

munikacji użytkownika ze stroną - jeżeli dane zostaną przechwycone i pojawił się tam login i hasło,

to przestępca może je poznać i zalogować się do serwisu jako uprawniony użytkownik,

• ok. 27 tys. przypadków błędnie skonfigurowanych mechanizmów weryfikacji nadawcy poczty e-mail

- stwarza to ryzyko wysyłania fałszywych e-maili z danej domeny,

• ok. 16 tys. przypadków, gdy zasób taki, jak np. panel administracyjny czy panel logowania (np. do

bazy danych czy usługi zdalnego pulpitu) był dostępny publicznie - atak jest możliwy np. jeśli jedno

z kont ma słabe hasło albo jeśli w usłudze występują podatności,

• ok. 11.2 tys. przypadków, gdy informacje o konfiguracji serwer a, lista subdomen lub listy plików

w folderach na serwerze były dostępne publicznie - może to atakującemu ułatwić rekonesans, po-

znanie używanego oprogramowania lub nazw plików, które nie powinny być dostępne publicznie,

a w konsekwencji także umożliwić ich pobranie,

• ok. 4.5 tys. przypadków konkretnych krytycznych lub poważnych podatności umożliwiających np.

przejęcie strony lub pobranie danych z bazy danych,

• ok. 3.4 tys. przypadków, gdy wrażliwe dane, takie jak: kopie zapasowe, kod źródłowy, zrzuty bazy

danych czy dziennik zdarzeń serwera były dostępne publicznie,

• 20 przypadków, gdy domena zbliżała się do wygaśnięcia - odpowiednio wczesne powiadomienie

instytucji zmniejsza ryzyko niedostępności usługi lub przejęcia domeny przez atakującego.

Administratorzy systemów otrzymują na bieżąco informacje o wykrytych podatnościach.

Skanowanie jest automatycznie, dlatego też powyższe liczby mogą zawierać duplikaty lub odnosić się

do sytuacji, w których w rzeczywistości podatność nie występuje, ponieważ np. wykryto niepoprawnie

skonfigurowane SSL/TLS w domenie, która w praktyce nie jest używana.

https://cert.pl/uploads/docs/Raport_CP_2023.pdf

#cyberbezpieczenstwo #cybersecurity #cert