Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.
В ходе работы под названием SilkSecured специалисты рассмотрели:
- разрешение доменных имен;
- использование сторонних библиотек;
- службы удостоверяющих центров (Certificate Authority, CA);
- сервисы доставки контента (Content Delivery Network, CDN);
- интернет-провайдеров (Internet Service Providers, ISP);
- внедрение HTTPS;
- интеграцию IPv6;
- реализацию DNSSEC (Domain Name System Security Extensions);
- производительность сайтов.
В ходе анализа было обнаружено множество проблем:
- более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
- выявлена «заметная зависимость» от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
- в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS -уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
- выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
- широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF -атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
- Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.
Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает «острую необходимость постоянного мониторинга и обнаружения вредоносной активности». Также отмечена потребность в «жестком отборе и регулярном обновлении» сторонних библиотек. Авторы призывают к «диверсифицированному распределению сетевых узлов» для повышения устойчивости и производительности систем.
Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.