Kasyno w rządowej domenie. Przez 2 lata nikt z tym nic nie zrobił

Niedawno na naszych łamach opisywaliśmy przypadki przejmowania domen parafii przez kasyna internetowe bądź serwisy pornograficzne.

Podczas poszukiwań postanowiliśmy przeanalizować, czy w rządowej domenie (gov.pl) również zdarzały się przypadki, gdzie witryna witała nas reklamą kasyna. Ku naszemu zaskoczeniu okazało się, że… tak.

Reklama kasyna na rządowej stronie

W witrynie Krajowej Rady Bezpieczeństwa Ruchu Drogowego (krbrd.gov.pl) mogliśmy zobaczyć reklamę jednego z internetowych kasyn, oferującego „poczucie klasycznego wyrafinowania i uroku”.

Strona była możliwa do znalezienia przez każdego zainteresowanego w ramach tzw. „Google hackingu”, czyli tworzeniu zapytań do wyszukiwarek w oparciu o dodatkowe parametry (np. zawężenie do określonej domeny bądź format pliku).

Zgodnie z Wayback Machine, działającym jako niezależne „archiwum Internetu”, podstrona reklamująca kasyno widniała na portalu KRBRD przynajmniej od 26 lutego 2024 roku. Ostatni zrzut pochodzi z 15 czerwca br. Oznacza to, że przez ponad dwa lata witryna w domenie gov.pl reklamowała kasyno (wraz z linkowaniem).

Ministerstwo potwierdza incydent

Bezpośrednio po znalezieniu „artykułu” zgłosiliśmy sprawę do Ministerstwa Infrastruktury za pośrednictwem Biura Komunikacji, zwracając się jednocześnie z pytaniami. Odpowiedzi wyłaniają bardzo interesujące kulisy incydentu.

Rzeczniczka prasowa resortu Anna Szumańska potwierdziła, że zamieszczenie tekstu o kasynie na stronie Krajowej Rady Bezpieczeństwa Ruchu Drogowego było incydentem bezpieczeństwa. Miało do niego dojść na przełomie grudnia 2023 i stycznia 2024 roku, czyli na ok. miesiąc przed pierwszą archiwizacją tekstu w Wayback Machine.

„Po wykryciu podjęto niezwłoczne działania naprawcze, których priorytetem było przywrócenie stabilności oraz bezpieczeństwa serwisu” – zaznaczyła Szumańska.

Faktycznie: kilkanaście minut po naszej wiadomości, artykuł zniknął z portalu KRBRD.

Incydent nie został zgłoszony

Co dokładnie wydarzyło się na przełomie 2023 i 2024 roku?

Według analizy przeprowadzonej przez informatyków ministerstwa, przyczyną była podatność w jednym z komponentów systemu WordPress, na którym oparta jest strona Krajowej Rady. Dzięki niej było możliwe wykonanie kodu PHP bez dostępu do kont użytkowników.

Rzeczniczka Ministerstwa Infrastruktury wskazała na brak prób nieautoryzowanego logowania na konta w serwisie.

„W ramach działań zabezpieczających niezwłocznie zmieniono główne dane uwierzytelniające. Dodatkowo przeprowadzono audyt poincydentowy. Wykonano również pełny skan podatności serwisu, który nie wykazał obecności innych znanych luk bezpieczeństwa” – podkreśliła Anna Szumańska w odpowiedzi dla redakcji CyberDefence24.

Oprócz tego, zespół resortu wdrożył bardziej restrykcyjne reguły w ramach zapory aplikacyjnej WAF. Wzmocniono także nadzór nad bezpieczeństwem środowiska CMS. Co jednak zaskakuje, informacje o nieautoryzowanym tekście nie zostały przekazane dalej.

„Incydent nie został zgłoszony do zewnętrznych organów ani instytucji nadzorczych, ponieważ został obsłużony w ramach działań naprawczych po stronie administratora i operatora serwisu” – czytamy w wiadomości od rzeczniczki resortu.

Zapewniono nas o prawidłowym funkcjonowaniu systemu, a także zabezpieczeniu go z wykorzystaniem „dodatkowych środków ochronnych”.

Co daje „reklama”?

Zarówno w przypadku przejmowania wygasłych domen czy nieuprawnionej publikacji wpisów, kluczowe pozostaje pytanie o cel takiego działania. Sprawcy mogli m.in. promować swoją stronę poprzez zamieszczenie linku do niej w domenie .gov.pl, licząc na wyższe pozycjonowanie w wyszukiwarkach.

Fakt wstrzyknięcia takiej treści w oparciu o podatność w Wordpressie, umożliwiającą wykonanie kodu PHP, jest jasnym sygnałem do weryfikowania podatności w systemach oraz regularnego aktualizowania oprogramowania.

Przykładem wykorzystania podobnej luki w oprogramowaniu może być zamieszczenie napisu „Hacked by (…)” wraz z flagą Kurdystanu na stronie Centrum Projektów Polska Cyfrowa (CPPC), co opisywał Niebezpiecznik w 2017 roku.