Až desítky tisíc webů běžících na doméně .CZ může být zranitelných. Souvisí to s nedávno popsanou závažnou zranitelností v populárním PHP frameworku Nette (CVE-2020–15227), pomocí které je možné vzdálené spuštění kódu a potenciální převzetí kontroly nad serverem. Zranitelnost se nachází v kódu samotného frameworku.
DNS crawler ADAM z dílen CZ.NIC, který periodicky prochází domény druhé úrovně a umožňuje analýzu získaných dat, poukázal na to, že problém se může týkat značného množství webů.
“V současné chvíli se nám podařilo skrze data získaná DNS crawlerem identifikovat přes 36 tisíc českých domén, na kterých je dostupný web postaven na Nette frameworku. Bohužel však z těchto dat není možné zjistit konkrétní verzi frameworku. Je tedy velmi pravděpodobné, že ne všech 36 tisíc webů je zranitelností ohroženo a mnohé již byly aktualizovány na některou z opravených verzí. Nicméně z naší zkušenosti víme, že tyto webové technologie obvykle nebývají z různých důvodů pravidelně aktualizovány, někdy i mnoho let. V současnosti tak diskutujeme možnosti identifikace konkrétních webů, které jsou zmíněnou zranitelností ohroženy a možnosti oslovení jejich vlastníků,” uvádí Filip Pokorný z CZ.NIC.
David Grudl, který Nette vyvíjí, ke zranitelnosti sepsal blogový příspěvek a chybu již opravil. Firmy jako Wedos, VSHosting nebo HostingBB své klienty o chybě informovaly a případně provedly opravu.
“Nejstarší zasaženou verzí bylo Nette 2.0, které už sice není šest let udržované, ale protože Nette má bezpečnost jako jednu z priorit, vydal jsem nové verze také u všech nepodporovaných verzí. Což je ve světě open source frameworků ojedinělý krok. Díky tomu mohou uživatelé snadno a bez prodlení aktualizovat nejen projekty udržované a běžící na současných verzích, ale i projekty s technologickým dluhem,” popisuje Grudl.
