کشف سومين آسيب‌پذيری در سيستم مديريت محتوای دروپال

یک‌شنبه ۰۹ اردیبهشت ۱۳۹۷
سیستم مدیریت محتوای دروپال، نسخه‌های جدیدی از نرم‌افزار خود را منتشر کرد تا آسیب‌پذیری‌های مهم اجرای کد از راه دور (RCE) که بر روی هسته‌ی دروپال 7 و 8 تأثیر می‌گذارند را وصله کند.
مرکز آپا شریف
SUT-APA-LOGO

در طی یک ماه گذشته، دروپال شاهد چند آسیب‌پذیری حیاتی بوده است؛ به‌ همین دلیل، این سیستم مدیریت محتوا، نسخه‌های جدیدی از نرم‌افزار خود را منتشر کرد تا آسیب‌پذیری‌های مهم اجرای کد از راه دور (RCE) که بر روی هسته‌ی دروپال 7 و 8 تأثیر می‌گذارند را وصله کند.
دروپال یک نرم‌افزار محبوب سیستم مدیریت محتوای منبع‌باز است که میلیون‌ها وب‌سایت را پشتیبانی می‌کند و متأسفانه این سیستم، پس از افشای آسیب‌پذیری بسیار حیاتی اجرای کد از راه دور، مورد حملات زیادی قرار گرفته است.
جدیدترین آسیب‌پذیری مربوط به دروپال، هنگام کاوش در مورد آسیب‌پذیری اجرای کد از راه دوری که قبلاً افشا شده بود، کشف شد.
به گفته‌ی یکی از اعضای تیم امنیت دروپال، این آسیب‌پذیری (CVE-2018-7602) یک آسیب‌پذیری اجرای کد از راه دور است که می‌تواند مهاجمان را به‌طور کامل به وب‌سایت‌های آسیب‌پذیر منتقل کند.
از آنجایی که نقص‌هایی که قبلاً افشا شدند، سایت‌های زیادی را هدف قرار دادند، این شرکت از تمام مدیران وب درخواست کرده است تا در اسرع وقت، وصله‌های امنیتی جدید را نصب کنند و موارد زیر را برای حفظ امنیت وب‌سایت‌های خود اجرا کنند:

  • درصورت اجرای 7.x ، آن‌را به Drupal 7.59 ارتقا دهند.
  • در صورت اجرای 8.5.x ، آن‌را به Drupal 8.5.3 ارتقا دهند.
  • در صورت اجرای 8.4.x که دیگر پشتیبانی نمی‌شود، ابتدا باید سایت خود را به نسخه‌ی 8.4.8 به‌روزرسانی و سپس آخرین نسخه‌ی 8.5.3 را در اسرع وقت نصب کنند.

همچنین لازم به ذکر است که وصله‌های جدید تنها در صورتی کار می‌کنند که سایت موردنظر، قبلاً وصله‌های مربوط به Drupalgeddon2 (دومین آسیب‌پذیری حیاتی کشف‌شده در دروپال) را دریافت کرده باشد.
به گفته‌ی سخنگوی دروپال، این شرکت از سوءاستفاده‌های فعال مربوط به آسیب‌پذیری جدید آگاهی ندارند. علاوه‌بر‌این، نقص جدید پیچیده‌تر از آن است که بتواند به یک سوءاستفاده تبدیل شود.
جزئیات فنی این نقص که Drupalgeddon3 نامیده می‌شود، منتشر نشده است؛ اما به این معنا نیست که کاربران زمان کافی برای به‌روزرسانی وب‌سایت خود دارند، بلکه باید هرچه سریع‌تر نسبت به انجام این کار اقدام کنند.
طبق تحقیقات انجام‌شده توسط تیم امنیتی دروپال، مهاجمان سوءاستفاده‌های خودکار را توسعه دادند تا از آسیب‌پذیری Drupalgeddon2 برای تزریق کاوشگر ارز رمزنگاری‌شده، درپشتی و دیگر نرم‌افزارهای مخرب به وب‌سایت سوءاستفاده کنند.
علاوه بر این دو آسیب‌پذیری، این شرکت همچنین هفته‌ی گذشته، آسیب‌پذیری تزریق اسکریپت مخرب (XSS) را از بین برد که می‌توانست به حملات پیشرفته مانند سرقت کوکی، ثبت‌کننده‌ی صفحه‌کلید (keylogging)، ماحیگیری و سرقت هویت منجر شود.
باتوجه به اهمیت این آسیب‌پذیری‌ها، به مدیران سایت‌های دروپال به‌شدت توصیه می‌شود تا در اسرع وقت، وب‌سایت‌های خود را به‌روز کنند.