De veelgebruikte open source-pakketten Joomla en Drupa, voor contentbeheer van websites, blijken veel gaten te hebben. Joomla loopt voorop: 90 procent van de installaties van dat content management systeem (cms) is onveilig. Drupal volgt met ruim 60 procent, terwijl Wordpress op minder dan 10 procent zit.

Kernsysteem valt mee

Dit staat in het 2010-jaarrapport (pdf) van HP’s security-divisie TippingPoint. “De voornaamste oorzaak van kwetsbaarheden in een cms zijn ongepatchte of slecht gepatchte plug-ins, en niet zozeer het kernsysteem”, schrijft HP TippingPoint. Het onderzoekslab daarvan, DVLabs, heeft webapplicaties gekeurd op kwetsbaarheden en daarbij ook gekeken naar veelgebruikte content management systemen (cms’en) zoals Wordpress, Joomla en Drupal.

Uit het onderzoek blijkt een opvallend verschil tussen de kernapplicatie van het cms zelf en de plug-ins daarvoor. Volgens HP TippingPoint is er een flinke verschuiving van kwetsbaarheden naar plug-ins. “Een mogelijke verklaring kan de toegenomen waakzaamheid zijn van de ontwikkelaars van de kernapplicaties. Dit volgend op een aantal high-profile aanvallen op hun platformen.” Door het harde werk van de developers zouden de cms’en zelf minder kwetsbaarheden hebben, wat dan dus het percentage van de plug-ins flink vergroot.

Plug-ins lopen achter

“Bovendien kunnen ontwikkelaars van plug-ins minder nadruk op security leggen in vergelijking met de makers van de kernapplicaties”, merkt de securityleverancier op. Het vinden en dichten van gaten is dan een minder grote prioriteit. Hetzelfde geldt voor de gebruikers van de cms-software. Patches voor plug-ins worden veelal niet geïnstalleerd of rijkelijk laat.

Gemiddeld genomen komt zo’n 55 procent van de kwetsbaarheden in cms’en neer op een kwetsbaarheid in de gebruikte plug-ins. De overige 45 procent zit in de cms-software zelf. Voor Wordpress zijn plug-ins goed voor 80 procent van de kwetsbaarheden, terwijl dat voor Joomla en Drupal maar liefst 95 procent is. Dit zijn de cijfers over 2010.

Al die percentages zijn flink gestegen ten opzichte van de voorgaande jaren. In de periode van 2006 tot 2009 waren plug-ins nog ‘goed’ voor slechts 40 procent van de gaten in alle cms’en. Voor Wordpress was dat toen ook 40 procent, terwijl Joomla en Drupal al op 90 procent zaten. “Wordpress kwam overeen met het percentage voor de totale cms-‘bevolking’, terwijl Joomla en Drupal een verbijsterend hoog percentage aan kwetsbaarheden in plug-ins hadden.”

Het is niet bekend om hoeveel installaties van elk cms, en om hoeveel plug-ins het gaat, alleen de percentages zijn gegeven.

9,2% op Wordpress, Joomla of Drupal

TippingPoints onderzoekstak heeft zelf een systeem gemaakt om websites te monitoren die veelgebruikte webapplicaties draaien, zoals cms’en. “Onderzoek van de hele IP-ruimte van het internet wijst uit dat er ongeveer 104 miljoen actieve hosts zijn, waarvan zeker 9,2 procent Wordpress, Joomla of Drupal draait. Veel van die installaties draaien één of meer plug-ins voor de kernapplicatie.”

Van die 9,2 procent (zo’n 9,5 miljoen websites) heeft DVLabs een monster van ongeveer 1 miljoen hosts genomen. Daarop is een meer gedetailleerde analyse gedaan. “Daaruit blijkt dat het patchen van open source-software achterloopt in Aziatische landen, maar ook bij grote wereldwijd opererende isp’s”, vermeldt het rapport, zonder namen te noemen.

Patchen verwaarlozen

“Slecht patchen van commerciële software, zoals Microsoft-producten, in Aziatische landen is al breed uitgemeten in de pers en wordt vaak geweten aan piraterij van die software.” Het niet of spaarzaam patchen gaat echter niet alleen op voor commerciële software, blijkt uit het onderzoek van TippingPoint. Ook open source-software wordt verwaarloosd qua patchen.

“De trend van lage patch rates bij internet providers wijst erop dat die isp’s vooral reactief omgaan met security-incidenten in plaats van proactief te zijn op basis van informatie in security-bulletins.” Een mogelijke oorzaak hiervoor is dat isp’s juist de uptime van klanten niet in gevaar willen brengen, opperen de security-onderzoekers.

De hosters maken dan een afweging van applicatie-instabiliteit door een nieuwe patch tegen de kans dat een kwetsbaarheid daadwerkelijk misbruikt wordt. Zo heeft Wordpress al lange tijd de reputatie dat updaten lastig is. De ontwikkelaars van dat open source-pakket waarschuwen zelf ook voor problemen bij upgrades.

Foute instellingen

Joomla is in de zomer van vorig jaar ook in Nederland onder vuur gekomen. Phishers hadden particuliere websites met dat cms misbruikt om ING-klanten een nep-inlogpagina voor te schotelen. De succesvolle kaping van enkele Nederlandse websites, met Joomla maar ook met open source-cms Typo3, bleek echter ook geholpen door een beheerdersfout. Die zou zijn gemaakt door het webdesign-bureau dat de sites had opgezet, stelde de webhoster die eerst was aangewezen als verantwoordelijke voor de fout.

Slechte beveiliging van cms’en speelt al jaren. Dat gaat enerzijds om het aanhoudende gebruik van verouderde versies en anderzijds om slechte – en dus onveilige – instellingen. Voor dat laatste is Joomla eind vorig jaar nog gehekeld: de default installatie doet afbreuk aan de beveiliging van webserver Apache. Standaard wil het open source-cms namelijk schrijfrechten in een rootfolder van het open source Apache, de meestgebruikte webserver ter wereld.