آسیب‌پذیری‌هایی که سامانه‌ی مدیریت محتوای دروپال را تهدید می‌کنند

یک پژوهش‌گر عنوان کرده است: تعدادی از مشکلاتی که در سامانه‌ی مدیریت محتوای دروپال وجود دارند موجب اجرای کد و سرقت گواهی‌نامه‌ها‌‌ی پایگاه داده‌ی آن از طریق ترفند حمله‌ی مرد میانی می‌شوند.
با توجه به اظهارات فرناردو آرنوبولدی، مشاور ارشد امنیتی IOActive این آسیب‌پذیری‌ها در روند به‌روزرسانی دروپال وجود دارند. آرنابولدی در وبلاگ خود به شرح این سه مشکل پرداخته است. یکی از این مشکلات سال‌هاست که وجود داشته و به صورت دست‌نخورده باقی مانده است و دو مورد دیگر برای اولین بار در این هفته افشاء شده‌اند.
آرنابولدی می‌گوید مشکلی که سال‌هاست بر روی آن درنگ شده است این‌ است که به‌روزرسانی‌های دروپال هنگامی که ارسال می‌شوند، رمزنگاری نشده‌اند و سامانه‌ی مدیریت محتوا نیز به بررسی صحت این به‌روزرسانی‌ها هنگامی که آن‌ها را انجام می‌دهد، نمی‌پردازد.
آرنابولدی می‌نویسد: «یک مهاجم برای این‌که از این آسیب‌پذیری سوءاستفاده کند باید در همان شبکه به حمله‌ای از نوع مرد میانی دست بزند.»
فرآیند به‌روزرسانی شامل بارگیری یک نسخه‌ی متنی از یک پرونده‌‌ی XML است، اما این پرونده‌ی‌ XML می‌تواند نسخه‌ای از دروپال باشد که یک در پشتی است و یا این‌که از یک کارگزار نامطمئن گرفته شده باشد.
آرنابولدی برای اثبات نظریه‌ی خود یکی از به‌روزرسانی‌ها را به نام ۷.۴۱ Backdoored نام‌گذاری کرد و سپس آن را بارگیری کرد. پس از این‌که فرآیند به‌روزرسانی آغاز شد، مهاجم یک ماژول را اجرا می‌کند، به لحاظ نظری او می‌تواند رمز عبور پایگاه داده‌ی دروپال را دریافت کرده و کدی را در آن اجرا کند.
یکی دیگر از مشکلات جدید اساساً یک آسیب‌پذیری نیست اما شبیه چیزی است که می‌تواند احساس امنیت کاذب به کاربران بدهد. دو نسخه‌ی اخیر از CMS از جمله آخرین آن‌ها که در ماه نوامبر منتشر شده‌اند، نمی‌توانند به کاربران هنگامی که در شبکه در فرآیند به‌روزرسانی به مشکل برخورد می‌کنند به درستی اطلاع‌رسانی کنند. در این نسخه‌ها به جای این‌که به کاربران پیامی هشدارآمیز فرستاده شود به سادگی گفته می‌شود: «تمام پروژه‌ها به‌روز می‌باشند.»
با این حال کاربران می‌توانند به کمک پیوند «بررسی دستی» به‌روزرسانی‌ها را بررسی کنند و در اینجاست که مشکل سوم بروز پیدا می‌کند.
بر طبق نوشته‌های آرنابولدی مهاجم می‌تواند همان پیوند ثابت را در یک حمله‌ی درخواست تزریق کد به کار برد و یا آن آسیب‌پذیری را در نسخه‌ی دروپال جاسازی کند تا دروپال ۸ با جعل درخواست یک حمله‌ی سمت کارگزار را ایجاد کند.
آرنابولدی نوشته است: «مدیران ممکن است به صورت ناخواسته مجبور شوند تا از سمت کارگزارهای خود درخواست‌های نامحدودی از اطلاعات برای updates.drupal.org بفرستند تا از پهنای باند بیشتری استفاده کنند.»
آرنابولدی در روز چهارشنبه به Threatpost گفته است که وب‌گاه‌های قدیمی که دروپال را اجرا می‌کنند ممکن است در صورتی که پهنای باند شبکه‌ی ارسالی به کاربر در یک وب‌گاه پایین‌تر از پهنای باند ارسالی از سوی کاربر باشد قربانی حمله‌ای از نوع انسداد سرویس شوند.
آرنابولدی اذعان کرده است که IOActive یک گفت‌وگوی خصوصی با تیم امنیت دروپال درباره‌ی مشکلات داشته است و در نهایت تصمیم گرفته شده است که موضوع بحث درباره‌ی مشکلات رمزنگاری در drupal.org را به صورتی عمومی پیگیری کنند. این سلسله بحث‌ها از آوریل سال ۲۰۱۲ وجود داشته است و دوباره پس از این‌که آرنابولدی به مشکلات دروپال در ماه نوامبر پرداخته است دوباره آغاز شده است.
مسئولان دروپال به سؤالات طرح‌شده در روز چهارشنبه پاسخ نداند. آرنابولدی ادعا می‌کند که این شرکت هیچ‌گونه اعتراضی نسبت به مشکلاتی که با انتشار به‌روزرسانی‌های IOActive ایجاد شده‌اند ابراز نکرده‌اند حتی نسبت به مشکلات آسیب‌پذیری نگران‌کننده‌ی CSRF واکنشی بروز نداده‌اند.
آرنابولدی می‌گوید: «این آسیب‌پذیری CSRF یک مسأله‌ی حساس بود و برخی از اعضای تیم امنیتی درباره‌ی به کار گرفتن drupal.orgدر مواردی که ممکن است به صورت طبیعی مورد سوءاستفاده قرار گیرد نگران بودند. آسیب‌پذیری CSRF همیشه با به کار بستن تدبیر به خوبی حل می‌شود، اما آن‌ها در حال حاضر چندین شکل محافظت CSRF به صورت مناسب در دروپال قرار داده‌اند، بنابراین احتمالاً این موضوع نمی‌تواند موضوع جدید برای کار برای آن‌ها باشد.»
این پژوهش‌گر به Threatpost گفت که به نظر نمی‌رسد که دروپال هیچ برنامه‌ی کوتاه مدتی برای رفع مشکل داشته و از این‌که برخی از مشکلات قبلاً حل نشده‌اند شگفت‌زده شده‌اند.
آرنابولدی اعلام کرده است: «من در ابتدا فکر می‌کردم که برخی از این مشکلات قبل از انتشار دروپال ۸ حل شوند، اما این‌گونه نشد.»
ساز و کار هدف مورد حمله قرار گرفتن به‌روزرسانی‌ها از سوی مهاجمان، مسأله‌ای عادی است.
پژوهش‌گران در تابستان گذشته دریافتند که فرآیند به‌رورسانی برخی از نرم‌افزارهای شرکت ال‌جی به دلیل عدم تأیید گواهی‌نامه‌های امنیتی آن‌ها ناموفق است و در برخی از موارد هنگامی که آن‌ها در برخی از دستگاه‌های این شرکت باز می‌شدند مواردی از حمله مرد میانی را نشان می‌دادند.
پژوهش‌گران IOActive در سال گذشته نیز چند آسیب‌پذیری در به‌روزرسانی دستگاه‌های رایانه‌ی رومیزی شرکت Lenovo یافتند. یک مهاجم می‌تواند اعتبار امضاء را دور بزند و پرونده‌های اجرایی را که به وسیله‌ی به‌روزرسانی‌های سامانه‌ی لنوو دریافت شده‌اند تغییر دهد. در نتیجه‌ی این کار یک مهاجم می‌تواند یک مرجع صدور گواهی‌نامه‌ی جعلی درست کند و از آن برای ایجاد یک گواهی‌نامه‌ی امضای کد استفاده کند که از آن برای امضای پرونده‌های اجرایی استفاده خواهد شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.