Dnes mi dorazilo z CZ NIC, respektive z CSIRT týmu upozornění, že jeden z mých webů je provozován na zastaralém WordPress (konkrétně 4.5.9). Přiznám se, že mi to přišlo trochu divné, protože WordPress 4.5.9 je aktualizace z 16. května a je poslední verzí. 4.5 je stále podporovanou verzí na kterou vychází bezpečnostní aktualizace.
Celé znění emailu:
Vážený držiteli domény reklamavtv.cz, obracíme se na Vás v souvislosti s provozem webových stránek umístěných na doméně reklamavtv.cz. V rámci testování prováděného bezpečnostními týmy CSIRT.CZ a CZ.NIC-CSIRT jsme zjistili, že Vaše stránky jsou provozovány na zastaralé verzi CMS WordPress 4.5.9. Provozování webových stránek na zastaralém CMS je bezpečnostním rizikem. Doporučujeme situaci konzultovat s Vaším správcem IT a případně provést upgrade Vašeho CMS na novější verzi. Pokud o riziku víte, prosím považujte tuto zprávu za bezpředmětnou. Více info na https://csirt.cz/cms/ . V případě dotazů nás můžete kontaktovat na adrese security-scan@csirt.cz. -- S pozdravem, tým CSIRT.CZ a CZ.NIC-CSIRT CZ.NIC, z.s.p.o. Milešovská 1136/5, 130 00 Praha 3 Tel.: +420 910 101 010 CZ.NIC, z.s.p.o. provozuje registr doménových jmen .CZ a zabezpečuje provoz domény nejvyšší úrovně .CZ. Sdružení provozuje také interní bezpečnostní tým CZ.NIC-CSIRT a od roku 2011 Národní CSIRT tým České republiky – CSIRT.CZ.
Email dorazil z otrs.nic.cz (otrs.nic.cz [217.31.204.123]). IP adresa skutečně patří CZ NIC. Takže to nevypadá na phishing zakončený nějakým hezkým CSRF.
K WordPress 4.5.9 jsem ani nedohledal nějakou veřejně hlášenou zranitelnost, takže nevím. Záhada :)
Závěr
V každém případě jsem alespoň aktualizoval všechny starší instalace o které se už moc nestarám. Pokud tedy email od CZ NIC měl zapůsobit preventivně tak se jim to povedlo :)
EDIT 25.07.2017 16:54 – Oficiální informace https://csirt.cz/page/3590/metodika-skenovani-redakcnich-systemu-na-webovych-strankach-v-domene-cz/ Testuje se více CMS a některé pluginy.
Drago také mi tento email přišel a taktéž to na mě zapůsobilo preventivně. Schválně jsem jeden web nechal neaktualizovaný a počkám zda přijde další email, docela by mě zajímalo jakým klíčem to rozesílají.
Mne pisali tiez. Kvoli jedinej ceskej domene, ktoru mam. Mam tam joomlu.
Taky mě ten email překvapil. Díky němu jsem ale zjistil, že stále mám na jedné doméně spuštěný wordpress, takže docela dobrá upomínka :)
Zrovna nedávno jsem si říkal, že každou IP co me bude zkoušet načíst soubor wp-login.php či co to zkouší a já ho tam nemám dám na ban, ale nějak jsem to zatím neřešil :)
Verze 4.5.9 sice je z května 2017, ale mezitím vyšly dvě nové řady (4.6, 4.7) a v srpnu bude 4.8. Takže technologicky je to těžce zastaralý software, když si uvědomíme, kolik novinek a oprav od té doby vyšlo.
Já si myslím, že to je správná aktivita, jen ten marketing by mohl být lepší.
Oprava: Vyšly už tři řady, 4.8 už je taky venku. :-)
mně přišly upozornění jenom na tři weby kde mám údajně WP 4.2
ani nevím že na nich WP vůbec mám – všechno jsou to htaccess redirecty přes 302