いくつかの地方自治体のWebサイトのXSS脆弱性について   2 comments

Posted at 8:43 pm in Security,XSS

こんにちは。さまよえる無職の山本です。もう花粉症が始まったのかひどい病気なのかわかりませんが右目がかゆくてたまりません。

それはともかく、年末にゴロゴロしながらテレビを見ていましたら、ある町のことが話題になりまして、そうなるととりあえずググってみるじゃないですか。そしたらその町のサイトなんかが出てくるからちょっと見てみるじゃないですか。
でちょっと見たら怪しい香りがするんですよねー。で、ちょっと調べてみたら、ありました。XSS。

私はログインできるわけじゃないんですが、まあ、変なタグや画像は埋め込めちゃうわけじゃないですか。anonymousにかぶれてるような中学生なんかが見つけてしまったら「Hacked By Silence200」みたいなのを埋め込まれて(昨日やってるのをtwitterで見かけました)拡散されてしまうわけじゃないですか。ああ、恥ずかしい。

それに、後述するようにCMSなので、管理する人はきっとログインするはずなので、ログインしてから変なURL踏んでしまったら、セッションハイジャックされるじゃないですか。いやーん。

cats_2012-12-16_1

年末ゴロゴロしているときのお話です

 

で、まあ、そんなわけで粛々とIPAの方に報告させていただいたのですが、地方自治体のことですから、自分ところでCMSを開発しているはずもなく、他社のものを使っているに違いない、なら同じCMSを採用している他の自治体にも脆弱性があるはず、という推測が成り立つわけです。

ということでグーグル先生のお力をお借りしながらつらつらと調べていきますと、やはりいくつもの地方自治体や自治体が運営するサイトにありました。XSS。これらも年末にどばばばっと報告させていただきました。年末なのにお騒がせしました。

 

●修正が完了した自治体

そして、仕事が始まると少しずつ修正されたとの連絡が来ています。担当者のみなさま、お疲れ様でした。Hacked byとかいうアピール好きな人に見つからずにすんでよかったですね。

shitara

愛知県北設楽郡設楽町

shinshiro

愛知県新城市

hitachiota

茨城県常陸太田市観光サイト

katagami

秋田県潟上市

tsuyama

岡山県津山市

 

●CMSもちゃんとバージョンアップしよう!

いろいろ調べた結果、何が原因だったのかというと、名前は伏せますが、地方自治体向けに売られているCMSアプリケーションをバージョンアップしてなかったことです。同じアプリでバージョンが新しいものになると脆弱性は塞がれていました。どのタイミングかはサイトを見ても公開されていなかったので、公開して欲しいと思いましたが、まあ、そんなものなんでしょう。あと、1つの自治体だけですが、Webサーバ自体にXSS脆弱性があるバージョンを使っているところがありました。ひどいですね。

なんでアップデートしなかったのか考えてみると、契約として導入したらセキュリティパッチが出てもほったらかし契約だったのか(ひどい話ですね)、保守期限が切れて次のSIerの担当になったけど細かい仕様とか知らんし放置されていたのか、バージョンアップ情報が末端の自治体まで届かなかったのかしれません。

実はアップデートのお誘いはあったのかもしれませんが、すっごいお高いアップデート費用が提示されてしまったのかもしれませんね。

それはともかく自治体の担当者は、デスクトップで使用しているアプリケーションやサーバーアプリケーションと同じ様にCMSもアップデートされているということを心の片隅に置いといて、ご自身の自治体で使用されているCMSの名前とバージョンくらいは把握しておいてもらいたいものです。

そして、

・最新が出たときにはすぐにアップデートする
・アップデートしやすいCMSを採用する
・サポートされない(期限が切れた)CMSは使わないようにする
・導入時にアップデートにかかる費用を含めて見積もりを取る
・導入に関わってる業者にうちのCMSは最新かどうか聞く

みたいな考えで運用すればいいような気がします。勝手な想像ですが。
そういえば、OWASPで地方自治体の発注規約がなんちゃらとか言ってた気がしますね。忘れました。

Written by bogus on 1月 23rd, 2013