「免費的往往最貴」這句話在資訊安全領域再度得到驗證。最近Opensource開源碼軟體工具接連傳出重大漏洞,若管理人員沒有即時更新系統,系統資料就將暴露在高度風險中。
日前知名購物車管理系統Magento傳出有跨站指令碼攻擊(XSS, Cross site scripting)漏洞,攻擊者透過此漏洞將能提升使用者權限、竊取客戶資料與信用卡資訊、透過管理者帳號接管整個網站。包括企業版1.14.2.2及之前版本,以及社群版1.9.2.2及之前版本都有此漏洞。所幸在資安公司Sucuri通報後,該公司已釋出修補程式,然而Sucuri是在去(2015)年11月10日通報,該公司直到今年1月20日才正式釋出更新程式,數百萬計使用Magento的電商網站暴露在攻擊的風險之中。
在Alexa排名前一百萬的網站中,Magento以22%的市佔率排名第2,僅次於Woo Commerce平台。也正因為這樣的高市佔率,Magento成為駭客下手的攻擊目標。無獨有偶,更多人使用的開源碼傳輸加密函式庫OpenSSL在前年爆發Heartbleed大漏洞後,日前再度傳出另一高風險漏洞,其DH金鑰交換演算法被傳出有漏洞,可能導致金鑰回復攻擊。
許多企業礙於預算而使用開源碼軟體,然而開源碼軟體並非下載安裝後就可一勞永逸地使用,尤其上述使用率高的開源碼軟體更已成為駭客鑽研漏洞的對象。戴夫寇爾執行長翁浩正表示,使用第三方套件儘管可以節省開發時間,但必須能時時追蹤資安訊息,以便即時更新。此外,在漏洞已揭露但修補程式未釋出的這段空窗期間,也必須自己承擔被零時差攻擊的風險。因此,opensource套件較適合有技術底子的開發團隊使用。
然而使用套裝軟體或找軟體廠商委外開發並非比較安全,委外開發者必須在驗收時要求廠商提出資安檢測報告,確認系統經過滲透測試。許多委外開發專案受限於上線時間壓力與預算,往往只求功能而忽略安全。
翁浩正指出,使用opensource套件與委外開發系統的資安風險其實不相上下,許多委外開發的系統漏洞相當多,且無良的軟體業者還不願修改。而若是使用知名的opensource專案反而有持續更新。他建議,opensource套件盡量在企業內部網路使用,較不建議用於對外開放的網路服務。
此外,在使用opensource工具軟體時,若出現上述漏洞已揭露但更新未釋出的情形時,戴夫寇爾部落格也建議,IT管理者應將使用該套件的伺服器與其它伺服器隔離、帳號密碼勿與他台共用、異地備份伺服器的系統記錄並觀察是否有可疑行為、採用網頁應用防火牆以增加攻擊難度、重新評估使用該套件的必要。因此,
翁浩正提出幾點使用Opensource套件應注意的部分:
1. 時時注意套件官網的資安訊息,以即時修補漏洞。
2. 將opensource套件放於企業內網使用。
3. 當漏洞揭露但更新未釋出時,伺服器管理應採取應變措施。