พบบั๊คในกระบวนการอัพเดทของ Drupal เสี่ยงดาวน์โหลดไฟล์ปลอมมาติดตั้ง

Fernando Arnaboldi นักวิจัยจาก IOActive ได้ออกมาเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง เสี่ยงต่อการโหลดไฟล์ปลอมมาติดตั้ง และอาจส่งผลให้ทั้งเว็บไซต์ถูกแฮ็คได้

1. ไม่เข้ารหัสและไม่ตรวจสอบความถูกต้อง

Arnaboldi ระบุ ต้นตอของปัญหาในกระบวนการอัพเดทนี้ ประการแรกเกิดจากการที่ Drupal ไม่มีการเข้ารหัสช่องทางในการอัพเดทและไม่มีการตรวจสอบว่าเป็นไฟล์อัพเดทจริงจากผู้ผลิต ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ เช่น เมื่อเริ่มกระบวนการอัพเดท ไฟล์ XML สำหรับตรวจสอบเวอร์ชันของ Drupal อาจถูกแก้ไขให้ชี้ URL ของไฟล์อัพเดทมาที่ไฟล์ปลอมของแฮ็คเกอร์ได้ เป็นต้น

drupal_update_bug_1

2. ไม่มีการแจ้งเตือนการอัพเดทล้มเหลว

ประการที่ 2 บน Drupal เวอร์ชัน 7 และ 8 ในกรณีที่อัพเดทล้มเหลว เช่น เกิดปัญหาขัดข้องทางการเชื่อมต่อ แทนที่ Drupal จะแจ้งเตือนสาเหตุของปัญหาที่เกิดขึ้น กลับแสดงผลบนหน้าต่างอัพเดทว่า การอัพเดทประสบความสำเร็จ ส่งผลให้ผู้ดูแลระบบเกิดความเข้าใจผิด ที่เลวร้ายคือ กรณีที่อัพเดทแพทช์ด้านความปลอดภัยไม่สำเร็จ ผู้ดูแลระบบอาจเข้าใจว่า Drupal ของตนเองปลอดภัยแล้วก็เป็นได้

drupal_update_bug_2

3. ช่องโหว่ CSRF บังคับให้ตรวจสอบการอัพเดทตลอดเวลา

ประการสุดท้าย พบว่าฟังก์ชัน “Check manually” บน Drupal เวอร์ชัน 8 มีช่องโหว่ CSRF ซึ่งช่วยให้แฮ็คเกอร์สามารถบังคับผู้ดูแลระบบให้ตรวจสอบการอัพเดทเมื่อไหร่ก็ได้ตามความต้องการ เช่น เมื่อไฟล์อัพเดทปลอมพร้อมให้ผู้ดูแลระบบดาวน์โหลดไปติดตั้ง เป็นต้น

นอกจากนี้ ช่องโหว่นี้อาจถูกใช้ในการทำ Server-side Request Forgery (SSRF) ในการโจมตีเว็บไซต์ Drupal.org ได้ด้วยเช่นกัน โดยสั่งให้เซิฟเวอร์ไปร้องขอการอัพเดทเฟิร์มแวร์จาก updates.drupal.org ตลอดเวลา เพื่อให้สูญเสียแบนด์วิธด์โดยไม่จำเป็น

ในขณะนี้ยังไม่มีแพทช์สำหรับอุดช่องโหว่ทั้ง 3 ประการดังกล่าว สำหรับ 2 ปัญหาแรก แนะนำให้ผู้ดูแลระบบใช้การดาวน์โหลดและอัพเดทเฟิร์มแวร์จากเว็บไซต์ Drupal ด้วยตนเองไปก่อน เพื่อให้มั่นใจว่าเฟิร์มแวร์ที่ดาวน์โหลดมาเป็นของแท้ และทำการอัพเดทได้สำเร็จแน่นอน

ที่มา: http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

TechTalk Webinar: TRUSTED THIRD-PARTY RISK MANAGEMENT – Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber

TechTalkThai ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "TRUSTED THIRD-PARTY RISK MANAGEMENT - Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber" เพื่อเรียนรู้โซลูชันการประเมินความเสี่ยงให้องค์กรของท่านจาก SecurityScorecard ทั้งมุมมองภายนอกและ Third party ที่เกี่ยวข้อง

ขอเชิญร่วมอบรมฟรี “Workshop เส้นทางสู่นักเจาะระบบ” เรียนรู้พื้นฐานสู่สายอาชีพ Cybersecurity [23-24 ก.ค. 2022]

พลาดไม่ได้สำหรับผู้ที่สนใจเริ่มต้นหรือย้ายสายอาชีพเข้าสู่วงการ Cybersecurity ที่กำลังมาแรง กับงานอบรมฟรี "Workshop เส้นทางสู่นักเจาะระบบ" ในวันเสาร์ที่ 23 และวันอาทิตย์ที่ 24 ก.ค. 2022 ณ BITEC ห้อง Silk 1-2 เพื่อปูพื้นฐานทางเทคนิคด้านการเจาะระบบและการตรวจสอบความมั่นคงปลอดภัยเบื้องต้น (Ethical Hacking & Security) และสัมผัสประสบการณ์การทำงานในสายงานด้านนี้ด้วยตนเอง เป็นการเปิดโอกาสสำหรับก้าวแรกสู่สายงานด้านนี้โดยเฉพาะ พร้อมให้สามารถนำความรู้ไปประยุกต์ใช้ในสายงานของตนเองได้