Pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski w specjalnej rekomendacji dla podmiotów krajowego systemu cyberbezpieczeństwa zalecił niestosowanie systemów SmodBIP i MegaBIP jako platform do publikacji Biuletynów Informacji Publicznej.
Jak wyjaśniono w komunikacie, wydanie rekomendacji wynika z wykrycia krytycznych podatności we wskazanych systemach.
„Pełnomocnik przeprowadził konsultację z CSIRT MON, CSIRT NASK oraz CSIRT GOV, na podstawie której została potwierdzona możliwość wystąpienia incydentu krytycznego w przypadku niezastosowania się do rekomendacji” – zaznaczono w komunikacie.
O wykryciu podatności na wskazanych w rekomendacji platformach informował kilka miesięcy temu CERT.
O tym, że oprogramowanie zawiera podatności informował w ostatnich miesiącach CERT Polska. Dwie z nich pozostają wciąż aktywne. CVE-2023-5378 w SmodBIP pozwala na wykonanie dowolnej akcji z uprawnieniami administratora systemu (np. dodania nowego konta administracyjnego). Natomiast CVE-2024-1577 w MegaBIP umożliwia wykonanie dowolnego kodu na serwerze.
W rekomendacji pełnomocnika zalecono, by podmioty krajowego systemu cyberbezpieczeństwa korzystały z systemów BIP udostępnianych przez Centralny Ośrodek Informatyki, takich jak platforma samorząd.gov.pl, które są rozwijane, aktualizowane i na bieżąco monitorowane pod kątem zapewnienia cyberbezpieczeństwa.
mam/