В системе управления контентом Drupal присутствует ряд уязвимостей, позволяющих выполнить код и украсть идентификаторы к базе данных посредством атаки “человек посередине”, сообщает “Лаборатория Касперского”.
По словам Фернандо Арнабольди (Fernando Arnaboldi), старшего ИБ-эксперта IOActive, эти бреши связаны с обработкой обновлений Drupal. В своем посте исследователь рассматривает три таких бага; один из них существовал в том или ином виде годами, два другие были преданы гласности на этой неделе.
Причиной первой, самой давней уязвимости является отсутствие шифрования обновлений CMS в процессе передачи, а также проверки их аутентичности при получении. Чтобы воспользоваться этой брешью, злоумышленник должен находиться в той же сети и провести MitM-атаку.
Процесс обновления Drupal предполагает загрузку нешифрованого XML-файла, однако, согласно Арнольди, он может содержать версию CMS с бэкдором или версию из недоверенного источника. Так, в ходе PoC-атаки эксперт без проблем загрузил апдейт с нарочитым именем “7.41 Backdoored”. Если процесс обновления запущен и модуль удалось активировать, атакующий теоретически сможет получить пароль к базе данных Drupal и выполнить код.
Поскольку патча пока нет, Арнольди настоятельно рекомендует загружать обновления для Drupal и аддонов вручную.
Один из обнаруженных IOActive багов не является уязвимостью, это упущение, создающее у пользователя ложное чувство безопасности. Дело в том, что две новейшие версии CMS, в том числе ноябрьская, не предупреждают пользователя о сетевых проблемах, возникающих в процессе установки обновлений, они лишь подтверждают, что апдейт произведен успешно.
Наличие новых обновлений для Drupal можно проверить вручную, пройдя по ссылке Check Manually, однако здесь тоже обнаружилась проблема. По свидетельству Арнольди, эту же статическую привязку можно использовать для подделки межсайтовых запросов или эксплойта уязвимости в Drupal версий ниже восьмой, открывающей возможность для подмены запросов на стороне сервера.
“Администраторы могут неумышленно заставить сервер запрашивать неограниченный объем информации с updates.drupal.org, что создаст перегрузку в сети”, – пишет исследователь.
Данных о сроках выпуска патчей у Арнабольди нет, его также удивило, что давно известные уязвимости до сих пор не закрыты. “Я думал, что некоторые из них будут пропатчены до выхода Drupal 8, но этого не случилось”, – сетует эксперт.
threatpost.ru
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?