Fatalne zabezpieczenie serwerów Ministerstwa Obrony Narodowej

Internetowy serwis MON jest podatny na nieautoryzowaną publikację – to wynik analizy naszych specjalistów ds. security. Niezabezpieczone skrypty rządowego serwera dają dostęp do części wewnętrznych katalogów, możliwość tworzenia folderów wewnątrz systemu oraz zapisu plików w katalogach publicznych.

Odkrywcą luk w systemie Ministerstwa Obrony Narodowej jest Michał Słowik – członek zespołu hacking.pl. Umiejętne wykorzystanie tak poważnych podatności systemu – ograniczone jedynie wyobraźnią intruza – może być nieprzewidywalne w skutkach.

Fakt, iż istnieje możliwość wgrania pliku na serwer czyli w praktyce publikacji dowolnego tekstu hostowanego pod domeną mon.gov.pl (oraz niektórymi subdomenami) świadczy o wątpliwej polityce bezpieczeństwa serwera Ministerstwa Obrony Narodowej Rzeczypospolitej Polskiej.

Poniżej prezentujemy screen z plikiem informacyjnym pozostawionym przez naszą redakcje na ministerialnym serwerze.

MON

Z uwagi na wagę wykrytych podatności, do czasu naprawienia błędów przez osoby zarządzające serwerem obsługującym serwis mon.gov.pl, szczegółowe informacje związane z tą sprawą pozostają do wiadomości redakcji hacking.pl.