Apache na uprawnieniach roota? FireEye chciało zasłonić się prawnikami
W ostatnich dniach informowaliśmy o problemach kilku dużych firm zajmujących się zabezpieczeniami – w ich oprogramowaniu i systemach wykryto poważne dziury. W przypadku zarabiającej na dużych organizacjach FireEye sprawa potoczyła się tak, jak chyba nikt by tego nie przypuszczał: firma zasłoniła się prawnikami i chciała zablokować prezentację, która dotyczyła jej błędów.
Za część odkryć w systemie FireEye odpowiada Kristian Erik Hermansen, zupełnie inne problemy znalazł natomiast Felix Wilhelm z ERNW GmBH. Jak się okazało, na swoich serwerach korporacja wykorzystała m.in. konfigurację, której zdecydowanie nie można nazwać bezpieczną: serwer Apache działał z poziomu konta root. Oznacza to, że jeżeli komuś udałoby się wykorzystać jakieś z jego luk, mógł przejąć kontrolę nad całym systemem, a także przejąć dane klientów FireEye. Serwer webowy oczywiście może tak pracować, ale jeżeli jest wystawiony publicznie, w żadnym razie nie powinien być skonfigurowany w taki sposób.
Problem został zgłoszony już pięć miesięcy temu, a Wilhelm współpracował z firmą w celu jego jak najszybszego wyeliminowania i zabezpieczenia podatnych serwerów. Wczoraj w Londynie odbyła się natomiast od dawna planowana konferencja 44CON poświęcona bezpieczeństwu komputerowemu. Jednym z jej najważniejszych punktów miało być przemówienie tego właśnie badacza i zaprezentowanie problemów, jakie dotyczyły FireEye. Jak się jednak okazało, firma zdecydowała się, że nie chce ujawniać żadnych informacji na ten temat. Postanowiła zapobiec przemówieniu, zaprzęgła do pracy swoich prawników i złożyła stosowny wniosek do niemieckiego sądu. Ostatecznie Wilhelm swoje przemówienie wygłosił, ale niektóre informacje dotyczące technologii FireEye zostały odpowiednio zredagowane, zgodnie z orzeczeniem sądu.
Firma zaprzecza zarzutom, jakoby chodziło jej o ukrycie poważnych zastrzeżeń dotyczących bezpieczeństwa. Według jej pracowników informacje, jakie miały znaleźć się w przemówieniu, stanowiły problem ze względu na ochronę własności intelektualnej klientów. Zaznaczyli oni także, że wiele razy kontaktowano się z ERNW, w celu zmiany planu przemówienia w celu ochrony tajemnicy handlowej, ale firma na prośby nie reagowała. Jedynym wyjściem było więc pójście do sądu. W żadnym razie nie chodziło natomiast o ukrywanie faktów związanych z nieprawidłową konfiguracją, a także innymi znalezionymi podatnościami.
Jak wyglądała cała sytuacja, najlepiej wiedzą jedynie sami zainteresowani – pewne jest natomiast, że FireEye zajmujące się ochroną innych użytkowników i firm, samodzielnie nie było w stanie zbudować odpowiednio bezpiecznej infrastruktury. Uruchamianie serwera webowego na uprawnieniach administratora to błąd, który może popełnić ktoś, kto dopiero raczkuje w tej tematyce, a nie specjaliści od zabezpieczeń. Jeżeli dodamy do tego informacje od Erika Hermansena, który przez 18 miesięcy starał się bezskutecznie zgłaszać inne problemy, wyłania się nam obraz firmy, która najwyraźniej potrzebuje zmian organizacyjnych.
