CDIC 2023

พบบั๊คในกระบวนการอัพเดทของ Drupal เสี่ยงดาวน์โหลดไฟล์ปลอมมาติดตั้ง

Fernando Arnaboldi นักวิจัยจาก IOActive ได้ออกมาเผยถึงช่องโหว่ใหญ่ 3 ประการในกระบวนการอัพเดทเฟิร์มแวร์ของ Drupal ระบบ CMS ชื่อดัง เสี่ยงต่อการโหลดไฟล์ปลอมมาติดตั้ง และอาจส่งผลให้ทั้งเว็บไซต์ถูกแฮ็คได้

1. ไม่เข้ารหัสและไม่ตรวจสอบความถูกต้อง

Arnaboldi ระบุ ต้นตอของปัญหาในกระบวนการอัพเดทนี้ ประการแรกเกิดจากการที่ Drupal ไม่มีการเข้ารหัสช่องทางในการอัพเดทและไม่มีการตรวจสอบว่าเป็นไฟล์อัพเดทจริงจากผู้ผลิต ส่งผลให้แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle ได้ เช่น เมื่อเริ่มกระบวนการอัพเดท ไฟล์ XML สำหรับตรวจสอบเวอร์ชันของ Drupal อาจถูกแก้ไขให้ชี้ URL ของไฟล์อัพเดทมาที่ไฟล์ปลอมของแฮ็คเกอร์ได้ เป็นต้น

drupal_update_bug_1

2. ไม่มีการแจ้งเตือนการอัพเดทล้มเหลว

ประการที่ 2 บน Drupal เวอร์ชัน 7 และ 8 ในกรณีที่อัพเดทล้มเหลว เช่น เกิดปัญหาขัดข้องทางการเชื่อมต่อ แทนที่ Drupal จะแจ้งเตือนสาเหตุของปัญหาที่เกิดขึ้น กลับแสดงผลบนหน้าต่างอัพเดทว่า การอัพเดทประสบความสำเร็จ ส่งผลให้ผู้ดูแลระบบเกิดความเข้าใจผิด ที่เลวร้ายคือ กรณีที่อัพเดทแพทช์ด้านความปลอดภัยไม่สำเร็จ ผู้ดูแลระบบอาจเข้าใจว่า Drupal ของตนเองปลอดภัยแล้วก็เป็นได้

drupal_update_bug_2

3. ช่องโหว่ CSRF บังคับให้ตรวจสอบการอัพเดทตลอดเวลา

ประการสุดท้าย พบว่าฟังก์ชัน “Check manually” บน Drupal เวอร์ชัน 8 มีช่องโหว่ CSRF ซึ่งช่วยให้แฮ็คเกอร์สามารถบังคับผู้ดูแลระบบให้ตรวจสอบการอัพเดทเมื่อไหร่ก็ได้ตามความต้องการ เช่น เมื่อไฟล์อัพเดทปลอมพร้อมให้ผู้ดูแลระบบดาวน์โหลดไปติดตั้ง เป็นต้น

นอกจากนี้ ช่องโหว่นี้อาจถูกใช้ในการทำ Server-side Request Forgery (SSRF) ในการโจมตีเว็บไซต์ Drupal.org ได้ด้วยเช่นกัน โดยสั่งให้เซิฟเวอร์ไปร้องขอการอัพเดทเฟิร์มแวร์จาก updates.drupal.org ตลอดเวลา เพื่อให้สูญเสียแบนด์วิธด์โดยไม่จำเป็น

ในขณะนี้ยังไม่มีแพทช์สำหรับอุดช่องโหว่ทั้ง 3 ประการดังกล่าว สำหรับ 2 ปัญหาแรก แนะนำให้ผู้ดูแลระบบใช้การดาวน์โหลดและอัพเดทเฟิร์มแวร์จากเว็บไซต์ Drupal ด้วยตนเองไปก่อน เพื่อให้มั่นใจว่าเฟิร์มแวร์ที่ดาวน์โหลดมาเป็นของแท้ และทำการอัพเดทได้สำเร็จแน่นอน

ที่มา: http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sony เร่งสืบสวนการถูกแฮ็ก หลังพบแฮ็กเกอร์อ้างว่าเจาะได้ พร้อมโชว์ไฟล์ตัวอย่าง

สาเหตุของเรื่องคือมีกลุ่มคนร้ายที่ชื่อ RansomedVC ได้แอบอ้างว่าสามารถเจาะระบบของ Sony ได้ พร้อมกับเผยถึงข้อมูลบางส่วน ต่อมามีแฮ็กเกอร์อีกกลุ่มที่อ้างว่าตนนี่แหละตัวจริง พร้อมหลักฐานมากกว่า ในขณะที่ Sony ยังกำลังตรวจสอบคำกล่าวอ้างเหล่านี้อยู่

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้