Κυριακή, 22 Οκτώβριος 2017, 4:43 μμ

Ιστότοποι Drupal: κίνδυνος λόγω προβληματικού μηχανισμού ενημερώσεων

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις.

Ο ερευνητής Fernando Arbaboldi της IOActive παρατήρησε ότι το Drupal δεν ενημερώνει τους διαχειριστές ιστοσελίδων ότι μια ενημέρωση απέτυχε, π.χ. λόγω αδυναμίας πρόσβασης στον εξυπηρετητή ενημερώσεων. Αντίθετα, το back-end panel θα εξακολουθήσει να αναφέρει ότι το CMS είναι ενημερωμένο, ακόμα κι αν δεν είναι!

Κάτι τέτοιο μπορεί να αποτελέσει πρόβλημα, με δεδομένο ότι οι hackers εκμεταλλεύονται ταχύτατα ευπάθειες σε δημοφιλείς πλατφόρμες διαχείρισης περιεχομένου, όπως το Drupal, το WordPress ή το Joomla, αμέσως μόλις αυτές γίνουν γνωστές. Πίσω στο 2014, οι χρήστες είχαν, σε μια περίπτωση, μόλις 7 ώρες περιθώριο για να εφαρμόσουν μια κρίσιμη ενημέρωση στο Drupal, πριν οι κυβερνοεγκληματίες ξεκινήσουν να εκμεταλλεύονται μια ευπάθεια που αυτή θα διόρθωνε.

Μετά από περαιτέρω έρευνα, ο Arnaboldi διαπίστωσε ότι οι ενημερώσεις στο Drupal δεν πραγματοποιούνται μέσω HTTPS, κάτι που σημαίνει ότι οι συνδέσεις δεν είναι κρυπτογραφημένες και ενδεχομένως τα δεδομένα που διακινούνται μέσω αυτών μπορούν να υποκλαπούν μέσω επιθέσεων τύπου man-in-the-middle.

Το CMS κατεβάζει πρώτα ένα αρχείο XML από τον εξυπηρετητή updates.drupal.org και ελέγχει αν η έκδοση σε αυτό ταιριάζει με αυτή που είναι εγκατεστημένη. Αν το XML περιέχει μια νεότερη έκδοση, το CMS θα εμφανίσει μήνυμα στο διαχειριστικό panel πως «μια ενημέρωση είναι διαθέσιμη». Θα παράσχει επίσης ένα download link για τη νεότερη έκδοση.

Αυτό σημαίνει ότι αν ένας επιτιθέμενος είναι σε θέση να παρέμβει στο traffic του δικτύου ανάμεσα στον ιστότοπο Drupal και στον εξυπηρετητή ενημερώσεων, μπορεί κάλλιστα να «παρουσιάσει» ένα ψεύτικο XML αρχείο με ένα link που να οδηγεί σε μια παραποιημένη έκδοση του CMS.

Η ενημέρωση του Drupal γίνεται χειροκίνητα, συνεπώς ο επιτιθέμενος θα πρέπει να περιμένει το διαχειριστή του ιστοτόπου να κατεβάσει χειροκίνητα την απατηλή ενημέρωση και να την εγκαταστήσει.

Ωστόσο, η ενημέρωση μεμονωμένων modules του Drupal (επεκτάσεις στο CMS) γίνεται ημι-αυτόματα. Το μόνο που πρέπει να κάνει ο διαχειριστής σε αυτή την περίπτωση είναι να πατήσει το κουμπί download για την ενημέρωση ενός module και στη συνέχεια η εγκατάσταση θα γίνει αυτόματα.

Η διαδικασία για την ενημέρωση των modules είναι εξίσου απροστάτευτη και σε αυτή θα μπορούσε να παρέμβει κάποιος κακόβουλος χρήστης, ώστε μέσω μιας απατηλής ενημέρωσης να αποκτήσει τη δυνατότητα να εκτελέσει κώδικα στον Web server ή να έχει πρόσβαση στη βάση δεδομένων του ιστοτόπου.

Ένα τρίτο ζήτημα είναι αυτό με το link που επιτρέπει στους διαχειριστές χειροκίνητα να ελέγξουν για ενημερώσεις, το οποίο είναι επιρρεπές σε επιθέσεις παραποιημένων cross-site requests. Αυτό σημαίνει ότι αν ο διαχειριστής επισκεφθεί έναν ιστότοπο ελεγχόμενο από τον επιτιθέμενο, τότε ο «επικίνδυνος» ιστότοπος μπορεί να αναγκάσει τον browser του διαχειριστή να πραγματοποιεί κατ’ επανάληψη ελέγχους για την εγκατάσταση Drupal την οποία χρησιμοποιεί.

Πρόκειται για μια μορφή παραβίασης της σύνδεσης και η επίθεση μπορεί να αναγκάσει τον ιστότοπο του διαχειριστή να καταναλώσει bandwidth του δικτύου μέσω των επαναλαμβανόμενων αιτημάτων για πληροφορίες από το updates.drupal.org .

Τα προβλήματα δεν έχουν ακόμα επιδιορθωθεί, άρα οι διαχειριστές ιστοτόπων βασισμένων στο Drupal συνίσταται να κατεβάζουν χειροκίνητα όλες τις ενημερώσεις για το Drupal και τα modules από μόνοι τους.

Ο μηχανισμός ενημέρωσης του Drupal, του δημοφιλούς συστήματος διαχείρισης περιεχομένου (CMS), παρουσιάζει προβλήματα ασφαλείας και μάλιστα κακόβουλοι χρήστες θα μπορούσαν να ξεγελάσουν διαχειριστές ιστοσελίδων ώστε να εγκαταστήσουν κακόβουλες ενημερώσεις. Ο ερευνητής Fernando Arbaboldi της IOActive παρατήρησε ότι το Drupal δεν ενημερώνει τους διαχειριστές ιστοσελίδων ότι μια ενημέρωση απέτυχε, π.χ. λόγω…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
97

Δείτε επίσης:

Ένα εργαλείο αποκρυπτογράφησης αρχείων που έχουν μολυνθεί από το WannaCry ransomware κοινοποίησε χθες η Europol μέσω του λογαριασμού που διατηρεί ο οργανισμός στο Twitter. Η λύση ακούει στο όνομα WanaKiwi και φαίνεται ότι λειτουργεί ικανοποιητικά σε ένα μεγάλο ποσοστό περιπτώσεων.

WanaKiwi: Βρέθηκε λύση για το WannaCry ransomware

Ένα εργαλείο αποκρυπτογράφησης αρχείων που έχουν μολυνθεί από το WannaCry ransomware κοινοποίησε χθες η Europol …