Изследователите са открили множество неправилно конфигурирани реализации на Microsoft Power Pages и подозират, че проблемът може да е широко разпространен.
Power Pages е инструмент с нисък код, който позволява лесно генериране на уеб портали, обикновено пред релационната база данни Dataverse на Microsoft. Той се използва широко от правителствени структури, образователни институции и частни организации по целия свят – понякога за да се позволи взаимодействие на обществеността с организацията, а понякога за да се осигури отдалечен достъп до данни за служителите.
Аарон Костело, ръководител на отдела за изследване на сигурността на SaaS в AppOmni, разследва малък брой инсталации и бързо открива няколко с неправилни конфигурации, позволяващи неволен достъп до поверителни данни. Той открива около 7 милиона изложени на риск записи в около половин дузина реализации. Например, отбелязва той в своя анализ, „голям доставчик на споделени бизнес услуги за NHS беше изпуснал информацията на над 1,1 млн. служители на NHS, като голяма част от данните включваха имейл адреси, телефонни номера и дори домашни адреси на служителите“.
Проблемът е изцяло свързан с конфигурацията, а не с Microsoft. Всъщност продуктът на MS показва множество банерни предупреждения, когато отбелязва потенциални проблеми с конфигурацията. Това, което Microsoft не може да направи, е да гарантира, че нейните потребители реагират на предупрежденията.
Истинският проблем може да се окаже дилемата, пред която са изправени всички доставчици на софтуер – създаване на продукт, който е лесен за използване и привлекателен за закупуване, без да е лесен за злоупотреба. Power Pages предоставя готов контрол на достъпа, базиран на роли, автоматична съвместимост с Dataverse и предварително създадени компоненти на кода, които се плъзгат и пускат. Съвременните технологии могат да направят изграждането на портали сравнително лесно, но сигурността и поддръжката остават сложни. Това може да доведе до несъответствие между внедряването и поддръжката, което да доведе до първоначални или възникващи неправилни конфигурации извън компетенциите на съответната компания.
Нуждата от потребителски код е намалена, но не и премахната. Неправилните конфигурации и излагането на данни „се случват поради неразбиране на контрола на достъпа в Power Pages и несигурни реализации на потребителски код“, се отбелязва в доклада. „Чрез предоставяне на прекомерни разрешения на неавтентифицирани потребители всеки може да има възможност да извлича записи от базата данни, използвайки леснодостъпните Power Page API.“
Именно това потенциално несъответствие между лекотата на изграждане на нисък код и сложността на контрола на достъпа е в основата на неправилните конфигурации. „Много, много лесно е за една организация да каже: „Добре, искам всички вътрешни служители да имат достъп до имейл адресите на другите, когато влизат в системата“ – и по този начин е лесно случайно да разкрие домашните им адреси и телефонни номера в процеса на това“, казва Костело.
След това този проблем се изостря от все още често срещаните изолирани отношения между екипите за разработка и сигурност – между двата екипа продължават да съществуват търкания относно това кой всъщност трябва да отговаря за този проблем.
Костело смята, че неправилните конфигурации на Power Pages може да са много разпространени, особено в публичния сектор на Обединеното кралство и Европа. „Общественият сектор е подложен на голям натиск да пусне нещата в действие възможно най-бързо. Ако гражданите или служителите се нуждаят от услуга, секторът се опитва да я предостави възможно най-бързо – и е много лесно случайно да изложите данни, когато бързате.“ Но същият аргумент ще важи за всички държавни структури и частни компании навсякъде по света. „Когато бързате, обикновено това не завършва добре“, добави той.
Тъй като проблемите не се дължат на кода на Microsoft, а на използването на този код от потребителите, AppOmni не е докладвала констатациите си директно на Microsoft, защото Microsoft няма какво да поправи. Фирмата обаче е съобщила за констатациите си на всички засегнати компании, които е открила – и всички открити неправилни конфигурации вече са отстранени.
Но това не решава продължаващия проблем с неправилната конфигурация. Проблемът вероятно ще продължи да съществува, тъй като съвременните технологии с нисък код позволяват на потребителите с нисък експертен опит да разработват сложни решения. Pentesting може да открие неправилни конфигурации, но не решава проблема: това, което е правилно днес, може да бъде неправилно конфигурирано утре в резултат на непрекъснатата еволюция. Ако основната причина е съвременната технология, такова трябва да бъде и решението. AppOmni препоръчва непрекъснат мониторинг със система, която може да открива такива неправилни конфигурации.
Равносметката от разследванията на Костело обаче е много проста: лесно и често срещано е неправилното конфигуриране на уеб порталите Power Page.
