Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам.
В ходе работы под названием SilkSecured специалисты рассмотрели:
разрешение доменных имен;
использование сторонних библиотек;
службы удостоверяющих центров (Certificate Authority, CA);
сервисы доставки контента (Content Delivery Network, CDN);
интернет-провайдеров (Internet Service Providers, ISP);
внедрение HTTPS;
интеграцию IPv6;
реализацию DNSSEC (Domain Name System Security Extensions);
производительность сайтов.
В ходе анализа было обнаружено множество проблем:
более 25% доменов государственных сайтов не имели записей name server (NS), что может свидетельствовать о неэффективной конфигурации DNS и возможной ненадежности или недоступности.
выявлена «заметная зависимость» от пяти провайдеров DNS-услуг – нехватка разнообразия, которая может открыть сетевую инфраструктуру для единых точек отказа.
в 4 250 системах использовались версии библиотеки JavaScript jQuery, подверженные XSS-уязвимости CVE-2020-23064 (CVSS: 6.1), то есть сайты могли стать мишенью удаленной атаки, известной уже около 4 лет.
выявлены проблемы с подписями DNSSEC – обнаружено 101 несогласованность между записями поддоменов и записями подписи ресурсов.
широкий спектр уязвимостей, включая проблемы с заголовками, отсутствие защиты от CSRF-атак, отсутствие политик безопасности контента и утечку информации о внутренних IP-адресах.
Несмотря на умеренно распределенную географию интернет-провайдеров, используемых государственными сайтами, исследователи посчитали избыточность серверов недостаточной для оптимальной безопасности и надежности.
Исследователи пришли к выводу, что выявленные проблемы могут не иметь быстрого решения. Уязвимость систем к кибератакам подчеркивает «острую необходимость постоянного мониторинга и обнаружения вредоносной активности». Также отмечена потребность в «жестком отборе и регулярном обновлении» сторонних библиотек. Авторы призывают к «диверсифицированному распределению сетевых узлов» для повышения устойчивости и производительности систем. Результаты исследования вряд ли будут благосклонно восприняты в Пекине, учитывая призывы правительства КНР к улучшению цифровых госуслуг и часто выпускаемые указания об улучшении кибербезопасности.