ColdFusion Administrator aberto mais uma vez

O Alex Hubner já fez um belo post falando desse assunto, e eu semana passada comentei sobre o site da comunidade americana dos democratas que possuia o mesmo problema de segurança. Então, nesse final de semana fui renovar a “tag” do meu carro e vi que um dos servidores do site do Departamento de Trânsito da Flórida também roda ColdFusion (assim como muitos outros sites do governo desse país). E pra minha surpresa, já que os americanos são na maioria muito precavidos, esse site também tem o ColdFusion Administrator aberto como se percebe aqui. Bloquear o acesso à pasta CFIDE através do servidor web é uma recomendação básica de segurança mesmo o CF não possuindo nenhuma falha de segurança conhecida nesse aspecto.


2 Comments on “ColdFusion Administrator aberto mais uma vez”

  1. Rodrigo Costa disse:

    Olá Emanuel,

    Lendo seu post resolvi verificar se o meu provedor estava librado e tive uma péssima surpresa!

    Tbm está liberado CFIDE, ja mandei um e-mail dando uma bronca neles rs!

    vlw

  2. Emanuel disse:

    Oi Rodrigo, essa é uma recomendação e não uma obrigação…. já que quebrar o acesso com um software de “força bruta” não é lá uma coisa simpes de se fazer principalmente se a senha for uma frase com combinação de mais de 8 digitos de letras maiúsculas e minusculas com números. De qualquer forma não custa nada aos administratores adicionar a lista de IPs conhecidos que pode acessar o cfide/administrator

    O problema também em liberar o acesso à essa página é o fato de apartir da versão 6.1. nessa página mostrar claramente qual a versão utilizada no servidor e dai ficar mais fácil para o hacker tentar decobrir possíveis falhas de segurança para aquela versão.

    De qualquer forma mesmo tomando essas preucações não implicará que vc vai estar 100% seguro. Um amigo meu que trabalha aqui nos EUA tb costuma dizer: “Não existe segurança, o que existe é a SENSAÇÃO de segurança”. E pra complementar ele disse que única segurança que é realmente eficar é o monitoramento 24x7x365 o que em 99,5% dos casos é inviável.