Открыты для хакеров: SilkSecured бросает вызов суверенитету Китая

Группа китайских исследователей проанализировалаконфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.

В ходе работы под названием SilkSecured специалисты рассмотрели:

  • разрешение доменных имен;
  • использование сторонних библиотек;
  • службы удостоверяющих центров (Certificate Authority, CA);
  • сервисы доставки контента (Content Delivery Network, CDN);
  • интернет-провайдеров (Internet Service Providers, ISP);
  • внедрение HTTPS;
  • интеграцию IPv6;
  • реализацию DNSSEC (Domain Name System Security Extensions);
  • производительность сайтов.

В ходе анализа было обнаружено множество проблем:

  • более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
  • выявлена “заметная зависимость” от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
  • в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS-уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
  • выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
  • широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF-атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
  • Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.

Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает “острую необходимость постоянного мониторинга и обнаружения вредоносной активности”. Также отмечена потребность в “жестком отборе и регулярном обновлении” сторонних библиотек. Авторы призывают к “диверсифицированному распределению сетевых узлов” для повышения устойчивости и производительности систем.

Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.

Public Release.