مواقع دروبال معرضة للخطر بسبب آلية التحديث غير الآمنة

2024

Ù…Ù† Ø²ÙŠÙ†Ùˆ Ù†Ù‡Ø§Ø± Ø§Ù„ÙŠÙˆÙ… ØµØ Ø¹ÙŠØ¯ÙƒÙ… Ø§Ù†Ø´Ø± Ø§Ù„ÙÙŠØ¯ÙŠÙˆ ØØªÙ‰ ÙŠØ±Ø§Ù‡ ÙƒÙ„ Ø§Ù„Ø

آلية التحديث لنظام إدارة المحتوى الشعبي في دروبال غير آمنة بعدة طرق ، مما يسمح للمهاجمين بخداع المسؤولين لتثبيت التحديثات الضارة.

لقد لاحظ الباحث فيرناندو أرنابولدي من شركة الأمن IOActive أن دروبال سوف لا تخبر المشرفين أن عملية فحص التحديث قد فشلت ، على سبيل المثال بسبب عدم القدرة على الوصول إلى خادم التحديث. بدلاً من ذلك ، ستستمر اللوحة الخلفية في الإبلاغ عن تحديث نظام إدارة المحتوى ، حتى لو لم يكن كذلك.

قد يكون هذا مشكلة ، مع الأخذ بعين الاعتبار أن المتطفلين يسارعون إلى استغلال نقاط الضعف في أنظمة إدارة المحتوى الشائعة مثل Drupal و WordPress أو جملة ، بعد ظهورها. في إحدى الحالات في عام 2014 ، لم يكن لدى المستخدمين سوى نافذة مدتها سبع ساعات لنشر حزمة دروبال حرجة حتى بدأ المهاجمون استغلال الثغرة الأمنية التي ثبتها.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

بعد وفضلاً عن ذلك ، وجد Arnaboldi أن تحديثات دروبال لا يتم إجراؤها عبر HTTPS ، مما يعني أن الاتصالات غير مشفرة وأنه من المحتمل أن يتم خطفها من قبل مهاجمين في منتصف.

يقوم نظام CMS أولاً بتنزيل ملف XML من يقوم ملقم updates.drupal.org بالتحقق مما إذا كان الإصدار الموجود بداخله يتطابق مع الإصدار المثبت. إذا كان ملف XML يسرد إصدارًا أحدث ، فسيعرض CMS تنبيهًا في لوحة الإدارة بأن هناك تحديثًا متوفرًا. كما سيوفر رابط تنزيل للإصدار الجديد ، والذي يتم الحصول عليه أيضًا من ملف XML.

وهذا يعني أنه إذا كان المهاجم في وضع يسمح له باعتراض حركة مرور الشبكة بين موقع دروبال وخادم تحديث دروبال ، يمكنه تقديم ملف XML المارقة مع وصلة تشير إلى نسخة مستتردة من نظام إدارة المحتوى ، أوضح Arnaboldi.

تحديث Drupal نفسه هو عملية يدوية ، لذلك على المهاجم أن ينتظر المسؤول لتنزيل التحديث المارق يدويًا وتثبيته .

ومع ذلك ، فإن تحديث وحدات دروبال الفردية - ملحقات CMS - هو شبه تلقائي. يحتاج المسؤول فقط إلى النقر فوق زر التنزيل لتحديث الوحدة النمطية وسيتم تثبيته تلقائيًا.

عملية تحديث الوحدة النمطية غير محمية أيضًا ويمكن أن يتم خطفها بنفس الطريقة. يمكن أن يمنح تحديث الوحدة النمطية المارقة للمهاجم القدرة على تنفيذ التعليمات البرمجية على ملقم الويب أو الوصول إلى قاعدة بيانات الموقع ، وفقًا لـ Arnaboldi.

العدد الثالث هو الارتباط الذي يسمح للمسؤولين بالتحقق من التحديثات يدويًا ، والتي تكون عرضة للتقاطع عبر موقع التزوير الهجمات. وهذا يعني أنه إذا قام أحد المسؤولين بزيارة موقع ويب يتحكم فيه المهاجم ، فإن ذلك الموقع يمكن أن يجبر المتصفح الخاص به بصمت على إجراء تحقيقات متكررة للتحديثات الخاصة بتثبيت دروبال الذي قام بتسجيل الدخول إليه.

هذا هو نوع من اختطاف الجلسات ويمكن أن يجبر الهجوم على الموقع المتأثر لاستهلاك النطاق الترددي للشبكة عن طريق طلب المعلومات بشكل متكرر من updates.drupal.org.

لم يتم إصلاح هذه المشكلات بعد ، لذا قد يرغب مسؤولو دروبال في تنزيل جميع التحديثات يدويًا على Drupal ووحداتها نفسها في الوقت الحالي ، كما قال Arnaboldi في مشاركة مدونة.