Co o SmodBIP napisał CERT Polska?
W październiku 2023 r. CERT Polska opublikował informację o poważnej podatności w SmodBIP (CVE-2023-4837). Opisano tam lukę typu CSRF, która pozwala na wykonanie działań w panelu administracyjnym, jeśli administrator zostanie skłoniony do kliknięcia spreparowanego linku. W praktyce taki atak może oznaczać np. dodanie drugiego konta administratora i przejęcie całego BIP-u. Oficjalny komunikat CERT o CVE-2023-4837 znajdziesz na stronie cert.pl.
W tym samym materiale podkreślono, że SmodBIP nie jest już utrzymywany i nie należy oczekiwać, że luka zostanie kiedykolwiek załatana. CERT wskazał, że podatne są potencjalnie wszystkie wersje systemu – testy prowadzono na wersji 2.21, ale starsze wydania działają w podobny sposób, więc również są zagrożone.
W grudniu 2023 r. pojawił się kolejny wpis CERT dotyczący SmodBIP i MegaBIP (CVE-2023-5378). Tym razem chodziło o podatność typu Stored XSS, która pozwala użytkownikowi znającemu adres panelu administracyjnego wstrzyknąć do serwisu złośliwy skrypt. Efekt jest znów podobny: możliwość przejęcia konta administratora i pełnej kontroli nad stroną BIP. W komunikacie wprost wskazano, że SmodBIP jest systemem „bez wsparcia”, a podatne są wszystkie wersje do 2.21 włącznie. Szczegóły znajdziesz w opisie CVE-2023-5378.
Sama informacja o podatnościach to jedno. W praktyce kluczowe jest to, że brak wsparcia oznacza brak łat. Innymi słowy: jeśli Twój BIP stoi na SmodBIP, to mimo świadomości poważnych luk nie ma już producenta, który usuwałby te problemy. Zostajesz z systemem, który z definicji będzie podatny także w przyszłości.
Sprawa SmodBIP nie zatrzymała się na samych CVE. W 2024 r. pełnomocnik rządu ds. cyberbezpieczeństwa, po konsultacji z CSIRT MON, CSIRT NASK i CSIRT GOV, wydał oficjalną rekomendację dla podmiotów krajowego systemu cyberbezpieczeństwa. Wprost zalecił niestosowanie systemów SmodBIP i MegaBIP jako platform do publikacji BIP, wskazując na wykryte krytyczne podatności i ryzyko incydentu o charakterze krytycznym.
W komunikatach podkreślano, że luka oznaczona jako CVE-2023-5378 umożliwia wykonanie dowolnej akcji z uprawnieniami administratora (np. dodanie nowego konta administracyjnego), co w oczywisty sposób otwiera drogę do całkowitego przejęcia Biuletynu. Jednocześnie wskazano kierunek „bezpiecznej przesiadki” – m.in. rozwiązania udostępniane przez Centralny Ośrodek Informatyki, takie jak platforma samorząd.gov.pl, rozwijane i monitorowane pod kątem cyberbezpieczeństwa.
Hej! Potrzebujesz uruchomić BIP?
Masz BIP na SmodBIP – co to dla Ciebie oznacza?
Jeżeli Twój Biuletyn nadal działa na SmodBIP, to z punktu widzenia bezpieczeństwa sytuacja jest dość jasna: korzystasz z systemu, w którym wykryto poważne podatności, nie ma wsparcia producenta, a do tego istnieje oficjalna rządowa rekomendacja, żeby go nie używać jako platformy BIP. To nie jest „potencjalny problem”, tylko bardzo konkretny scenariusz ryzyka – zwłaszcza jeśli BIP stoi na tym samym serwerze co inne kluczowe systemy urzędu czy szkoły.
Przygotowując plan odejścia od SmodBIP, warto spojrzeć szerzej niż tylko na „ratowanie się na szybko”. Z jednej strony masz rekomendację, by rozważyć rozwiązania państwowe, z drugiej – realną potrzebę elastyczności, integracji z obecną stroną WWW i wygodnej pracy redaktorów. Właśnie dlatego wiele jednostek wybiera WordPress jako bazę pod nowy BIP, łącząc go z dedykowanym szablonem zamiast kolejnego zamkniętego systemu.
Jeżeli działasz w oświacie, dodatkowym argumentem jest to, że szkoły mają swój własny zestaw obowiązków informacyjnych. Opisałem je dokładniej we wpisie o BIP dla szkół i obowiązkowych informacjach. Sam wybór nowej platformy nie zwalnia z dbania o treść – ale może znacząco ułatwić życie redaktorom.
Czy SmodBIP da się „załatać” i zostawić?
Naturalne pytanie brzmi: „A może lepiej zostawić SmodBIP i po prostu go zabezpieczyć?”. Problem polega na tym, że zarówno z komunikatów CERT, jak i z samej rekomendacji wynika jasno, że oprogramowanie nie jest rozwijane ani łatane, a znane podatności pozostaną aktywne. Nawet jeśli dołożysz dodatkowe filtry na serwerze czy ograniczysz dostęp do panelu, bazujesz na systemie, który z definicji nie będzie już aktualizowany.
Tu warto wrócić do podstaw: obowiązek zapewnienia cyberbezpieczeństwa leży po stronie podmiotu publicznego. Korzystanie z systemu, który ma znane luki, brak wsparcia i formalną rekomendację „nie używać”, trudno będzie obronić w razie incydentu. Zwykle taniej (i bezpieczniej) jest raz porządnie przeprowadzić migrację, niż przez lata łatać skutki ewentualnego włamania.
Jak mądrze zaplanować wyjście z SmodBIP?
Wyjście z SmodBIP nie musi oznaczać informatycznej rewolucji. Praktycznie zawsze da się zbudować plan w kilku krokach: najpierw inwentaryzacja treści, potem wybór nowej platformy, migracja danych, a na końcu dopracowanie dostępności i procedur redakcyjnych. Dokładniej opisuję to w tekstach o migracji z gotowych systemów BIP do WordPress oraz o tym, jak przenieść istniejący BIP bez utraty danych.
System BIP w 12 godzin?
Instalujemy i uruchamiamy gotowy do pracy BIP na WordPressie – zwykle w ciągu 12 godzin od zamówienia.
83,25 zł netto / miesiąc*
*płatność roczna: 999 zł netto. Do kwoty zostanie doliczony podatek VAT 23%.
Sprawdź szczegóły
Jeżeli wybierzesz WordPress, kluczowe są dwie rzeczy: dedykowany szablon BIP (z rejestrem zmian, archiwum, strukturą działów i wsparciem WCAG) oraz wykonawca, który rozumie przepisy dotyczące informacji publicznej. Tylko wtedy migracja będzie realnym skokiem jakościowym, a nie kolejną „przesiadką z systemu do systemu”. W kontekście dostępności cyfrowej warto też zerknąć na wpis o BIP na WordPress i wymaganiach WCAG 2.1.
Podsumowanie – dlaczego SmodBIP to już nie jest tylko „techniczna ciekawostka”
O SmodBIP można było kiedyś mówić jako o popularnym, darmowym systemie do BIP. Od momentu, w którym CERT Polska zaczął publikować informacje o istotnych podatnościach, a pełnomocnik rządu ds. cyberbezpieczeństwa zalecił niestosowanie tego oprogramowania jako platformy BIP, sytuacja wygląda zupełnie inaczej. Dziś SmodBIP to nieutrzymywane oprogramowanie z poważnymi lukami, którego używanie trudno obronić zarówno biznesowo, jak i prawnie.
Jeśli Twój Biuletyn nadal działa na tym systemie, to dobry moment, żeby zaplanować zmianę – czy będzie to przejście na rozwiązania udostępniane centralnie, czy BIP na WordPress z dedykowanym szablonem. Ważne, żeby decyzja była świadoma, oparta na oficjalnych komunikatach, a nie tylko na przyzwyczajeniu do „tego, co zawsze działało”.
Źródła
