Black Hat Asia 2023

พบบั๊คในกระบวนการอัพเดทของ Drupal เสี่ยงดาวน์โหลดไฟล์ปลอมมาติดตั้ง

Fernando Arnaboldi นักวิจัยจาก IOActive ได้ออกมาเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง เสี่ยงต่อการโหลดไฟล์ปลอมมาติดตั้ง และอาจส่งผลให้ทั้งเว็บไซต์ถูกแฮ็คได้

1. ไม่เข้ารหัสและไม่ตรวจสอบความถูกต้อง

Arnaboldi ระบุ ต้นตอของปัญหาในกระบวนการอัพเดทนี้ ประการแรกเกิดจากการที่ Drupal ไม่มีการเข้ารหัสช่องทางในการอัพเดทและไม่มีการตรวจสอบว่าเป็นไฟล์อัพเดทจริงจากผู้ผลิต ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ เช่น เมื่อเริ่มกระบวนการอัพเดท ไฟล์ XML สำหรับตรวจสอบเวอร์ชันของ Drupal อาจถูกแก้ไขให้ชี้ URL ของไฟล์อัพเดทมาที่ไฟล์ปลอมของแฮ็คเกอร์ได้ เป็นต้น

drupal_update_bug_1

2. ไม่มีการแจ้งเตือนการอัพเดทล้มเหลว

ประการที่ 2 บน Drupal เวอร์ชัน 7 และ 8 ในกรณีที่อัพเดทล้มเหลว เช่น เกิดปัญหาขัดข้องทางการเชื่อมต่อ แทนที่ Drupal จะแจ้งเตือนสาเหตุของปัญหาที่เกิดขึ้น กลับแสดงผลบนหน้าต่างอัพเดทว่า การอัพเดทประสบความสำเร็จ ส่งผลให้ผู้ดูแลระบบเกิดความเข้าใจผิด ที่เลวร้ายคือ กรณีที่อัพเดทแพทช์ด้านความปลอดภัยไม่สำเร็จ ผู้ดูแลระบบอาจเข้าใจว่า Drupal ของตนเองปลอดภัยแล้วก็เป็นได้

drupal_update_bug_2

3. ช่องโหว่ CSRF บังคับให้ตรวจสอบการอัพเดทตลอดเวลา

ประการสุดท้าย พบว่าฟังก์ชัน “Check manually” บน Drupal เวอร์ชัน 8 มีช่องโหว่ CSRF ซึ่งช่วยให้แฮ็คเกอร์สามารถบังคับผู้ดูแลระบบให้ตรวจสอบการอัพเดทเมื่อไหร่ก็ได้ตามความต้องการ เช่น เมื่อไฟล์อัพเดทปลอมพร้อมให้ผู้ดูแลระบบดาวน์โหลดไปติดตั้ง เป็นต้น

นอกจากนี้ ช่องโหว่นี้อาจถูกใช้ในการทำ Server-side Request Forgery (SSRF) ในการโจมตีเว็บไซต์ Drupal.org ได้ด้วยเช่นกัน โดยสั่งให้เซิฟเวอร์ไปร้องขอการอัพเดทเฟิร์มแวร์จาก updates.drupal.org ตลอดเวลา เพื่อให้สูญเสียแบนด์วิธด์โดยไม่จำเป็น

ในขณะนี้ยังไม่มีแพทช์สำหรับอุดช่องโหว่ทั้ง 3 ประการดังกล่าว สำหรับ 2 ปัญหาแรก แนะนำให้ผู้ดูแลระบบใช้การดาวน์โหลดและอัพเดทเฟิร์มแวร์จากเว็บไซต์ Drupal ด้วยตนเองไปก่อน เพื่อให้มั่นใจว่าเฟิร์มแวร์ที่ดาวน์โหลดมาเป็นของแท้ และทำการอัพเดทได้สำเร็จแน่นอน

ที่มา: http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เปิดตัว Security Copilot ระบบ AI ผู้ช่วยด้านความมั่นคงปลอดภัย

Microsoft เปิดตัว Security Copilot ระบบ AI ผู้ช่วยด้านความมั่นคงปลอดภัย ใช้งาน GPT-4  

“ฟรอสต์ แอนด์ ซัลลิแวน” ยกโซลูชัน Fraud Protection ของ Group-IB เป็นโซลูชันที่สมบูรณ์แบบที่สุดในตลาด [Guest Post]

Group-IB ผู้นำด้านการรักษาความปลอดภัยทางไซเบอร์ระดับโลก ซึ่งมีสำนักงานใหญ่ในสิงคโปร์ มีความภูมิใจในการประกาศว่า แพลตฟอร์ม Fraud Protection ของบริษัทฯ ได้รับการยอมรับจากบริษัทวิจัยและที่ปรึกษาระดับโลกอย่างฟรอสต์ แอนด์ ซัลลิแวน (Frost & Sullivan) ว่าเป็นโซลูชันป้องกันการฉ้อโกงที่สมบูรณ์แบบที่สุดในตลาดปัจจุบัน ฟรอสต์ แอนด์ ซัลลิแวน …