Сайты Drupal, подверженные риску из-за небезопасного механизма обновления

Механизм обновления популярной системы управления контентом Drupal небезопасен несколькими способами, позволяя злоумышленникам обмануть администраторов в установке вредоносных обновлений.

Исследователь Фернандо Арнаболди из охранной фирмы IOActive заметил, что Drupal будет не информировать администраторов о том, что проверка обновления не удалась, например, из-за невозможности доступа к серверу обновлений. Вместо этого внутренняя панель будет продолжать сообщать, что CMS обновлена, даже если это не так.

Это может быть проблемой, учитывая, что хакеры быстро используют уязвимости в популярных системах управления контентом, таких как Drupal, WordPress или Joomla, после того, как они появятся. В одном случае в 2014 году пользователям было доступно только семичасовое окно для развертывания критического патча Drupal до тех пор, пока злоумышленники не начнут использовать уязвимость, которую он исправил.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

После исследовав далее, Арнаболди обнаружил, что обновления Drupal не выполняются над HTTPS, а это значит, что соединения не зашифрованы и могут быть захвачены злоумышленниками «лицом к лицу».

CMS сначала загружает XML-файл из updates.drupal.org server и проверяет, соответствует ли версия внутри нее установленной. Если файл XML содержит более новую версию, CMS отобразит на панели администрирования предупреждение о наличии обновления. Он также предоставит ссылку для загрузки для новой версии, которая также получена из файла XML.

Это означает, что если злоумышленник может перехватить сетевой трафик между сайтом Drupal и сервером обновлений Drupal, он может обслуживать XML-файл изгоев со ссылкой, указывающей на бэкдд-ап версию CMS, объяснил Арнаболди.

Обновление самого Drupal - это ручной процесс, поэтому злоумышленнику придется дождаться, когда администратор вручную загрузит обновление жулика и установит его .

Однако обновление отдельных модулей Drupal - расширений для CMS - является полуавтоматическим. Администратору требуется только щелкнуть кнопку загрузки для обновления модуля, и он будет установлен автоматически.

Процесс обновления модулей также незащищен и может быть подобным образом захвачен. Обновление модуля мошенничества может дать злоумышленнику возможность выполнять код на веб-сервере или получить доступ к базе данных сайта, по словам Арнаболди.

Третья проблема связана со ссылкой, которая позволяет администраторам вручную проверять наличие обновлений, уязвимых для межсайтовых запросов на подделку. Это означает, что если администратор посещает веб-сайт, контролируемый злоумышленником, этот веб-сайт может заставить его браузер запускать повторные проверки обновлений для установки Drupal, в которую он вошел.

Это форма захвата сеанса, и атака может заставить (

). Эти проблемы еще не исправлены, поэтому администраторы Drupal могут вручную загрузить все обновления для Drupal и его модулей на данный момент, сказал Арнаболди в своем блоге. сообщение в блоге.