Kyberturvallisuuskeskuksen tietoon on viime päivinä tullut jälleen useita tapauksia, joissa puutteellisesti suojattuja tai vanhentuneita sisällönhallintajärjestelmiä (CMS, eli Content Management System) käyttäviä suomalaisia verkkosivustoja on murrettu propagandan levittämiseksi. Eri CMS-järjestelmistä, kuten WordPress:istä ja Drupal:ista, löytyneiden haavoittuvuuksien avulla sivustoja voidaan hyödyntää monenlaiseen haitalliseen toimintaan. Haktivistit ovat hyödyntäneet näitä tietoturva-aukkoja erityisesti propagandan levittämiseen.

Sisällönhallintajärjestelmien murtamisen kautta tapahtuva propagandan levittäminen tapahtuu yleensä automatisoitujen työkalujen avulla. Haktivistiryhmittymät voivat hyödyntää esimerkiksi verkon hakukoneita löytääkseen verkossa olevia vanhentuneita WordPress- ja Drupal-sivustoja, ja kohdistamaan löydöksiin samalla kertaa tietomurron. Tietomurron onnistuessa sivustojen alkuperäinen sisältö korvataan haktivistiryhmittymän määrittämällä sisällöllä.

Murretun sisällönhallintajärjestelmän vaikutukset voivat olla laajat

Propagandan levittämisen lisäksi murrettuja sisällönhallintajärjestelmiä voidaan käyttää moneen muuhunkin haitalliseen toimintaan. Verkkorikolliset ja haktivistit voivat hyödyntää murrettua CMS-järjestelmää esimerkiksi palvelunestohyökkäysten toteuttamiseen tai tietojenkalastelusivustojen esittämiseen. Suomalaisiin internetkäyttäjiin kohdistetetut huijauskampanjat vuosina 2014 ja 2015 hyödynsivät usein murrettuja CMS-järjestelmiä tietojenkalastelusivustojen esittämiseksi. Näin ollen murretun CMS-järjestelmän muodostama riski ei rajoitu pelkästään sivuston ylläpitäjiin ja sen käyttäjiin, vaan vaikutukset voivat olla globaaleita ja niillä voi olla konkreettisia taloudellisia vaikutuksia monen ihmisen elämään.

Sivuston ylläpitäjä ratkaisevassa roolissa

Sivuston ylläpitäjä voi omilla toimillaan vaikuttaa siihen, että hyödynnetäänkö hänen sivustoaan rikollisiin tarkoitusperiin tai propagandan levittämiseen. Suosituista CMS-järjestelmistä, kuten WordPress:stä ja Drupal:sta löytyy haavoittuvuuksia tiheään tahtiin, ja ohjelmistovalmistajat julkaisevat järjestelmiinsä päivityksiä joilla haavoittuvuuksia korjataan. Riskiä joutua tietomurron kohteeksi voi vähentää merkittävästi pitämällä CMS-järjestelmä ajantasaisena päivitysten osalta. Jos mahdollista, sisällönhallintajärjestelmän automaattiset päivitykset kannattaa kytkeä päälle.

Myös CMS-järjestelmissä hyödynnettävät laajennukset liittyvät oleellisella tavalla järjestelmän turvallisuuteen. Laajennuksista löytyy aika ajoin haavoittuvuuksia, joiden kautta hyökkääjä voi saada pääsyn järjestelmän hallintaan. Myös laajennosten päivityksistä tulee näin ollen huolehtia.

Kyberturvallisuuskeskus jakaa ajankohtaista tietoa sisällönhallintajärjestelmien tietoturvariskeistä

Sisällönhallintajärjestelmien ylläpitäjien on suositeltavaa seurata ylläpitämiinsä järjestelmiin julkaistuja päivityksiä ja tietoturvauutisia. Näiden avulla on mahdollista reagoida mahdollisimman nopeasti löydettyihin tietoturvaongelmiin, ja ryhtyä tarvittaviin toimenpiteisiin oman järjestelmän suojaamiseksi.

Sisällönhallintajärjestelmien tietoturvariskit ovat myös Kyberturvallisuuskeskuksen mielenkiinnon kohteena. Alla esimerkkejä julkaisuista, joilla tietoturvariskejä ja niihin liittyviä ilmiöitä pyritään tuomaan esiin:

Katsaukset ja varoitukset:

Katsaus 15.4.2014: Haavoittuvuudet, joista peruskäyttäjänkin tulisi tietää

Varoitus 3/2014: Vakava haavoittuvuus WordPress 3-sarjan ohjelmistoissa

Tietoturva nyt! -artikkelit:

Tietoturva nyt! -artikkeli 12.12.2014: WordPress-päivitykset etenevät verkkaisesti

Tietoturva nyt! -artikkeli 24.11.2014: Wordpress-palvelimista vielä yli 60 % on päivittämättä

Tietoturva nyt! -artikkeli 16.4.2013: Tarkista Wordpress-palvelimesi tietoturva

Haavoittuvuustiedotteet:

Haavoittuvuustiedote 38/2015: Wordpress-päivitys korjaa kriittisen XSS-haavoittuvuuden

Haavoittuvuustiedote 37/2015: Wordpress-päivitys korjaa kriittisiä haavoittuvuuksia

Haavoittuvuustiedote 25/2015: Haavoittuvuuksia Drupal-julkaisujärjestelmässä

Haavoittuvuustiedote 21/2015: Wordpress-julkaisualustan WPML-lisäosaan tietoturvapäivitys

Haavoittuvuustiedote 126/2014: Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä

Päivityshistoria

29.04.2015 klo 15:32