雲端弱點管理廠商美麗島雲端安全科技近日發現,台灣仍有許多以Windows IIS架設的網站,在沒有做好安全設定下啟用WebDAV (Web-Based Distributed Authoring and Versioning),導致網站被駭客植入後門程式,進而被控制系統以及竊取網站系統內的資料,並且成為駭客發動攻擊的跳板或殭屍電腦,受害網站以中小企業最多,其次是學校及醫院、協會,並包括政府機關的網站。
WebDAV是一種可與遠端主機進行檔案或資料交換方式的標準,原本是讓網站管理者方便從遠端維護網頁以及網站內的檔案,但如果一個網站的 WebDAV網頁服務延伸沒有做安全設定,等於是開啟網站大門讓駭客自由獲得網站的管理權,駭客不但可以上傳檔案到網站,也可以上傳包含CMD (shell) 命令的網頁程式來控制系統,並植入木馬與後門程式。美麗島雲端安全科技研發顧問蔡銘桔表示,WebDAV儘管不是新的安全問題,卻也因此很容易被忽略,受害的網站作業系統多數為 Windows 2000/XP/2003,使用的網站伺服器版本為IIS/5.0, 5.1, 6.0。目前美麗島雲端安全科技亦提供免費網站 WebDAV 安全檢測工具(如下圖),網站管理者可快速測試網站是否有WebDAV的安全問題,他並呼籲除了禁用 WebDAV外,建議重新架設網站系統,並定期對網站執行安全弱點掃描。
資安顧問指出,WebDAV在IIS 7.0以後版本以及在Apache均預設為關閉,因此會出問題的應是使用IIS 6之前的老舊版本,約2003年左右架設且沒做更新管理的網站,網站管理者應更新到較新的網站作業系統及網站伺服器。
10/11 補充更新:資安顧問指出,Web主機未必因為 WebDAV 問題遭受入侵,不過因為WebDAV服務仍未移除,的確有一定風險存在。主要風險包括:
1. 部分系統資訊可能外洩
2. 如果十年都沒更新系統,可能讓駭客取得權限
3. 如果五年都沒更新系統,可能讓駭客繞過網頁驗證機制,看到一些後台管理頁面
建議處理方式:
1. 套用系統更新程式
2. 停用 WebDAV,或將IIS置換成7.0以上版本
3. 現在的資安設備,如 Proxy, IPS, WAF其實都預設會禁止 WebDAV 的使用
4. 如果網站平台是共用的,應通知平台廠商停用 WebDAV。且應盡量避免與其他網站共用網站平台。