Breaking News

พบบั๊คในกระบวนการอัพเดทของ Drupal เสี่ยงดาวน์โหลดไฟล์ปลอมมาติดตั้ง

Fernando Arnaboldi นักวิจัยจาก IOActive ได้ออกมาเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง เสี่ยงต่อการโหลดไฟล์ปลอมมาติดตั้ง และอาจส่งผลให้ทั้งเว็บไซต์ถูกแฮ็คได้

1. ไม่เข้ารหัสและไม่ตรวจสอบความถูกต้อง

Arnaboldi ระบุ ต้นตอของปัญหาในกระบวนการอัพเดทนี้ ประการแรกเกิดจากการที่ Drupal ไม่มีการเข้ารหัสช่องทางในการอัพเดทและไม่มีการตรวจสอบว่าเป็นไฟล์อัพเดทจริงจากผู้ผลิต ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ เช่น เมื่อเริ่มกระบวนการอัพเดท ไฟล์ XML สำหรับตรวจสอบเวอร์ชันของ Drupal อาจถูกแก้ไขให้ชี้ URL ของไฟล์อัพเดทมาที่ไฟล์ปลอมของแฮ็คเกอร์ได้ เป็นต้น

drupal_update_bug_1

2. ไม่มีการแจ้งเตือนการอัพเดทล้มเหลว

ประการที่ 2 บน Drupal เวอร์ชัน 7 และ 8 ในกรณีที่อัพเดทล้มเหลว เช่น เกิดปัญหาขัดข้องทางการเชื่อมต่อ แทนที่ Drupal จะแจ้งเตือนสาเหตุของปัญหาที่เกิดขึ้น กลับแสดงผลบนหน้าต่างอัพเดทว่า การอัพเดทประสบความสำเร็จ ส่งผลให้ผู้ดูแลระบบเกิดความเข้าใจผิด ที่เลวร้ายคือ กรณีที่อัพเดทแพทช์ด้านความปลอดภัยไม่สำเร็จ ผู้ดูแลระบบอาจเข้าใจว่า Drupal ของตนเองปลอดภัยแล้วก็เป็นได้

drupal_update_bug_2

3. ช่องโหว่ CSRF บังคับให้ตรวจสอบการอัพเดทตลอดเวลา

ประการสุดท้าย พบว่าฟังก์ชัน “Check manually” บน Drupal เวอร์ชัน 8 มีช่องโหว่ CSRF ซึ่งช่วยให้แฮ็คเกอร์สามารถบังคับผู้ดูแลระบบให้ตรวจสอบการอัพเดทเมื่อไหร่ก็ได้ตามความต้องการ เช่น เมื่อไฟล์อัพเดทปลอมพร้อมให้ผู้ดูแลระบบดาวน์โหลดไปติดตั้ง เป็นต้น

นอกจากนี้ ช่องโหว่นี้อาจถูกใช้ในการทำ Server-side Request Forgery (SSRF) ในการโจมตีเว็บไซต์ Drupal.org ได้ด้วยเช่นกัน โดยสั่งให้เซิฟเวอร์ไปร้องขอการอัพเดทเฟิร์มแวร์จาก updates.drupal.org ตลอดเวลา เพื่อให้สูญเสียแบนด์วิธด์โดยไม่จำเป็น

ในขณะนี้ยังไม่มีแพทช์สำหรับอุดช่องโหว่ทั้ง 3 ประการดังกล่าว สำหรับ 2 ปัญหาแรก แนะนำให้ผู้ดูแลระบบใช้การดาวน์โหลดและอัพเดทเฟิร์มแวร์จากเว็บไซต์ Drupal ด้วยตนเองไปก่อน เพื่อให้มั่นใจว่าเฟิร์มแวร์ที่ดาวน์โหลดมาเป็นของแท้ และทำการอัพเดทได้สำเร็จแน่นอน

ที่มา: http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

มือดีเผยแพร่ข้อมูลภายในของ Intel ขนาดกว่า 20 GB

Till Kottmann วิศวกรซอฟต์แวร์ชาวสวิสซ์ได้อัปโหลดข้อมูลภายในของ Intel โดยอ้างว่าตนได้รับการติดต่อจากแฮ็กเกอร์ซึ่งอ้างว่าลอบขโมยมาได้

Fortinet เปิดตัว Fortigate 4400F ตอบโจทย์งานระดับดาต้าเซ็นเตอร์

Fortinet ได้เปิดตัว Next-gen Firewall รุ่นใหม่ใหญ่กว่าเดิมอีก 1 รุ่นหรือ ‘4400F’ สำหรับงานระดับดาต้าเซ็นเตอร์