Quando pensiamo alla sicurezza dei siti web, spesso immaginiamo complessi firewall, difese a più livelli e una robusta crittografia. Ma a volte l'anello debole della catena di sicurezza non è così evidente. Può essere semplice come una configurazione sbagliata o un numero di versione esposto. Anche le impostazioni di configurazione non precise possono affondare i siti web. Questo blog analizzerà come i numeri di versione esposti nel vostro stack tecnologico possono portare a gravi vulnerabilità e cosa potete fare per rafforzare la sicurezza.
Un esempio del mondo reale: Versione PHP esposta
Durante una valutazione di routine della sicurezza, abbiamo scoperto una versione PHP obsoleta che veniva apertamente pubblicizzata dalla configurazione del server di un sito web. È un ottimo esempio di cosa non fare. Utilizzando strumenti come Wappalyzer, una rapida occhiata ha rivelato la versione PHP: 8.2.19. In apparenza potrebbe sembrare una piccola svista, ma le ripercussioni possono essere gravi.
Questa particolare versione di PHP presenta diverse vulnerabilità critiche. Una delle più preoccupanti è CVE-2024-4577, che potrebbe potenzialmente consentire a un aggressore di eseguire codice arbitrario da remoto. In altre parole, rivelando semplicemente di utilizzare questa versione di PHP, il sito web potrebbe anche aver messo un cartello "Welcome Hackers" sulla porta d'ingresso.
Per maggiori dettagli sulle vulnerabilità associate a questa versione, consultare l 'analisi di Tenable.
Perché i numeri di versione esposti sono importanti?
Ogni stack tecnologico, sia esso un CMS, un server o un linguaggio di scripting, ha un ciclo di vita. Le nuove versioni escono regolarmente per correggere le vulnerabilità e migliorare le prestazioni. Ma quando un sito web espone le versioni esatte che sta utilizzando, i malintenzionati possono facilmente incrociare le vulnerabilità note per ogni versione e adattare i loro attacchi di conseguenza. Questo è noto come attacco alla catena di approvvigionamento informatico: gli aggressori prendono di mira versioni specifiche del software all'interno dello stack tecnologico di un'organizzazione per comprometterne la sicurezza complessiva.
Un rimedio pratico: trasformare le labbra sciolte in labbra tese
Quindi, come potete assicurarvi che il vostro sito web non faccia trapelare queste informazioni cruciali? Per cominciare, rivedete le configurazioni del vostro server e assicuratevi che i dati sensibili non vengano trasmessi al mondo. Vediamo una soluzione rapida per uno dei colpevoli più comuni: PHP.
- Trova il tuo
php.inifile di configurazione. Questo file controlla molte delle impostazioni di PHP e spesso si trova all'indirizzo/usr/local/lib/php.ini. - Individuare la linea che recita:
expose_php = On - Modificare l'impostazione a:
expose_php = Off - Riavviare il servizio HTTP per applicare le modifiche.
Con questa piccola modifica, si impedisce al server di trasmettere la propria versione di PHP. Si tratta di una soluzione semplice, ma che può ridurre significativamente la superficie di attacco.
Oltre l'offuscamento delle versioni: Sicurezza completa dello stack LAMP
L'offuscamento dei numeri di versione è un ottimo primo passo, ma la vera sicurezza richiede un approccio olistico. Se si utilizza uno stack LAMP (Linux, Apache, MySQL e PHP), è necessario proteggere ogni componente per evitare che gli aggressori trovino altri punti di accesso. Ciò significa rafforzare le configurazioni, gestire i permessi e implementare strumenti come firewall e sistemi di rilevamento delle intrusioni.
Per esempio, assicurarsi che l'installazione di MySQL sia bloccata può prevenire attacchi al database che potrebbero compromettere dati sensibili. Allo stesso modo, l'impostazione di permessi adeguati per i file e la disattivazione di moduli inutilizzati in Apache possono limitare la portata di un aggressore, anche nel caso in cui riesca a entrare.
Un'altra misura che potete adottare è l'implementazione di un firewall come il nostro Web Application Firewall per controllare il traffico verso il vostro server, insieme a Fail2Ban per bloccare automaticamente gli indirizzi IP che mostrano segni di brute-forcing del vostro login SSH.
Audit periodici e best practice
La sicurezza dello stack LAMP non è un compito da svolgere una volta sola. Controlli regolari con strumenti come Lynis o MySQL Security Tools possono aiutare a identificare i punti deboli della vostra configurazione e a mantenere il vostro stack resistente alle minacce emergenti. Ciò significa eseguire scansioni del sistema, analizzare i registri e verificare costantemente la configurazione per individuare eventuali lacune.
Per proteggere il vostro sito web non basta nascondere i numeri di versione. Sebbene le versioni esposte siano una vulnerabilità comune, sono solo un pezzo del puzzle. Per salvaguardare completamente il vostro stack LAMP, dovete adottare un approccio completo che affronti la gestione della configurazione, il controllo degli accessi e il monitoraggio continuo.
Per approfondire la protezione di ogni parte dello stack LAMP - dal blocco di SSH al rafforzamento dei permessi di MySQL e all'implementazione di regole di sicurezza avanzate per Apache- consultate la guida completa sulla protezione dello stack LAMP. Fornisce istruzioni passo passo e tecniche avanzate per proteggere il vostro server dalle fondamenta, assicurando una base solida e sicura per le vostre applicazioni web.
Commenti