พบบั๊คในกระบวนการอัพเดทของ Drupal เสี่ยงดาวน์โหลดไฟล์ปลอมมาติดตั้ง

Fernando Arnaboldi นักวิจัยจาก IOActive ได้ออกมาเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง เสี่ยงต่อการโหลดไฟล์ปลอมมาติดตั้ง และอาจส่งผลให้ทั้งเว็บไซต์ถูกแฮ็คได้

1. ไม่เข้ารหัสและไม่ตรวจสอบความถูกต้อง

Arnaboldi ระบุ ต้นตอของปัญหาในกระบวนการอัพเดทนี้ ประการแรกเกิดจากการที่ Drupal ไม่มีการเข้ารหัสช่องทางในการอัพเดทและไม่มีการตรวจสอบว่าเป็นไฟล์อัพเดทจริงจากผู้ผลิต ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ เช่น เมื่อเริ่มกระบวนการอัพเดท ไฟล์ XML สำหรับตรวจสอบเวอร์ชันของ Drupal อาจถูกแก้ไขให้ชี้ URL ของไฟล์อัพเดทมาที่ไฟล์ปลอมของแฮ็คเกอร์ได้ เป็นต้น

2. ไม่มีการแจ้งเตือนการอัพเดทล้มเหลว

ประการที่ 2 บน Drupal เวอร์ชัน 7 และ 8 ในกรณีที่อัพเดทล้มเหลว เช่น เกิดปัญหาขัดข้องทางการเชื่อมต่อ แทนที่ Drupal จะแจ้งเตือนสาเหตุของปัญหาที่เกิดขึ้น กลับแสดงผลบนหน้าต่างอัพเดทว่า การอัพเดทประสบความสำเร็จ ส่งผลให้ผู้ดูแลระบบเกิดความเข้าใจผิด ที่เลวร้ายคือ กรณีที่อัพเดทแพทช์ด้านความปลอดภัยไม่สำเร็จ ผู้ดูแลระบบอาจเข้าใจว่า Drupal ของตนเองปลอดภัยแล้วก็เป็นได้

3. ช่องโหว่ CSRF บังคับให้ตรวจสอบการอัพเดทตลอดเวลา

ประการสุดท้าย พบว่าฟังก์ชัน “Check manually” บน Drupal เวอร์ชัน 8 มีช่องโหว่ CSRF ซึ่งช่วยให้แฮ็คเกอร์สามารถบังคับผู้ดูแลระบบให้ตรวจสอบการอัพเดทเมื่อไหร่ก็ได้ตามความต้องการ เช่น เมื่อไฟล์อัพเดทปลอมพร้อมให้ผู้ดูแลระบบดาวน์โหลดไปติดตั้ง เป็นต้น

นอกจากนี้ ช่องโหว่นี้อาจถูกใช้ในการทำ Server-side Request Forgery (SSRF) ในการโจมตีเว็บไซต์ Drupal.org ได้ด้วยเช่นกัน โดยสั่งให้เซิฟเวอร์ไปร้องขอการอัพเดทเฟิร์มแวร์จาก updates.drupal.org ตลอดเวลา เพื่อให้สูญเสียแบนด์วิธด์โดยไม่จำเป็น

ในขณะนี้ยังไม่มีแพทช์สำหรับอุดช่องโหว่ทั้ง 3 ประการดังกล่าว สำหรับ 2 ปัญหาแรก แนะนำให้ผู้ดูแลระบบใช้การดาวน์โหลดและอัพเดทเฟิร์มแวร์จากเว็บไซต์ Drupal ด้วยตนเองไปก่อน เพื่อให้มั่นใจว่าเฟิร์มแวร์ที่ดาวน์โหลดมาเป็นของแท้ และทำการอัพเดทได้สำเร็จแน่นอน

ที่มา: http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html