Търсене
Close this search box.

Изследователите са открили множество неправилно конфигурирани реализации на Microsoft Power Pages и подозират, че проблемът може да е широко разпространен.

Power Pages е инструмент с нисък код, който позволява лесно генериране на уеб портали, обикновено пред релационната база данни Dataverse на Microsoft. Той се използва широко от правителствени структури, образователни институции и частни организации по целия свят – понякога за да се позволи взаимодействие на обществеността с организацията, а понякога за да се осигури отдалечен достъп до данни за служителите.

Аарон Костело, ръководител на отдела за изследване на сигурността на SaaS в AppOmni, разследва малък брой инсталации и бързо открива няколко с неправилни конфигурации, позволяващи неволен достъп до поверителни данни. Той открива около 7 милиона изложени на риск записи в около половин дузина реализации. Например, отбелязва той в своя анализ, „голям доставчик на споделени бизнес услуги за NHS беше изпуснал информацията на над 1,1 млн. служители на NHS, като голяма част от данните включваха имейл адреси, телефонни номера и дори домашни адреси на служителите“.

Проблемът е изцяло свързан с конфигурацията, а не с Microsoft. Всъщност продуктът на MS показва множество банерни предупреждения, когато отбелязва потенциални проблеми с конфигурацията. Това, което Microsoft не може да направи, е да гарантира, че нейните потребители реагират на предупрежденията.

Истинският проблем може да се окаже дилемата, пред която са изправени всички доставчици на софтуер – създаване на продукт, който е лесен за използване и привлекателен за закупуване, без да е лесен за злоупотреба. Power Pages предоставя готов контрол на достъпа, базиран на роли, автоматична съвместимост с Dataverse и предварително създадени компоненти на кода, които се плъзгат и пускат. Съвременните технологии могат да направят изграждането на портали сравнително лесно, но сигурността и поддръжката остават сложни. Това може да доведе до несъответствие между внедряването и поддръжката, което да доведе до първоначални или възникващи неправилни конфигурации извън компетенциите на съответната компания.

Нуждата от потребителски код е намалена, но не и премахната. Неправилните конфигурации и излагането на данни „се случват поради неразбиране на контрола на достъпа в Power Pages и несигурни реализации на потребителски код“, се отбелязва в доклада. „Чрез предоставяне на прекомерни разрешения на неавтентифицирани потребители всеки може да има възможност да извлича записи от базата данни, използвайки леснодостъпните Power Page API.“

Именно това потенциално несъответствие между лекотата на изграждане на нисък код и сложността на контрола на достъпа е в основата на неправилните конфигурации. „Много, много лесно е за една организация да каже: „Добре, искам всички вътрешни служители да имат достъп до имейл адресите на другите, когато влизат в системата“ – и по този начин е лесно случайно да разкрие домашните им адреси и телефонни номера в процеса на това“, казва Костело.

След това този проблем се изостря от все още често срещаните изолирани отношения между екипите за разработка и сигурност – между двата екипа продължават да съществуват търкания относно това кой всъщност трябва да отговаря за този проблем.

Костело смята, че неправилните конфигурации на Power Pages може да са много разпространени, особено в публичния сектор на Обединеното кралство и Европа. „Общественият сектор е подложен на голям натиск да пусне нещата в действие възможно най-бързо. Ако гражданите или служителите се нуждаят от услуга, секторът се опитва да я предостави възможно най-бързо – и е много лесно случайно да изложите данни, когато бързате.“ Но същият аргумент ще важи за всички държавни структури и частни компании навсякъде по света. „Когато бързате, обикновено това не завършва добре“, добави той.

Тъй като проблемите не се дължат на кода на Microsoft, а на използването на този код от потребителите, AppOmni не е докладвала констатациите си директно на Microsoft, защото Microsoft няма какво да поправи. Фирмата обаче е съобщила за констатациите си на всички засегнати компании, които е открила – и всички открити неправилни конфигурации вече са отстранени.

Но това не решава продължаващия проблем с неправилната конфигурация. Проблемът вероятно ще продължи да съществува, тъй като съвременните технологии с нисък код позволяват на потребителите с нисък експертен опит да разработват сложни решения. Pentesting може да открие неправилни конфигурации, но не решава проблема: това, което е правилно днес, може да бъде неправилно конфигурирано утре в резултат на непрекъснатата еволюция. Ако основната причина е съвременната технология, такова трябва да бъде и решението. AppOmni препоръчва непрекъснат мониторинг със система, която може да открива такива неправилни конфигурации.

Равносметката от разследванията на Костело обаче е много проста: лесно и често срещано е неправилното конфигуриране на уеб порталите Power Page.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
12/12/2024

Изследователи разбиват Micr...

Изследователи разбиха метод за многофакторно удостоверяване...
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
10/12/2024

Пач вторник: Редмънд закърп...

Софтуерният гигант Microsoft разпространи във вторник...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!