В системе управления контентом Drupal присутствует ряд уязвимостей, позволяющих выполнить код и украсть идентификаторы к базе данных посредством атаки «человек посередине».

По словам Фернандо Арнабольди (Fernando Arnaboldi), старшего ИБ-эксперта IOActive, эти бреши связаны с обработкой обновлений Drupal. В своей блог-записи исследователь рассматривает три таких бага; один из них существовал в том или ином виде годами, два других были преданы гласности на этой неделе.

Причиной первой, самой давней уязвимости является отсутствие шифрования обновлений CMS в процессе передачи, а также проверки их аутентичности при получении. Чтобы воспользоваться этой брешью, злоумышленник должен находиться в той же сети и провести MitM-атаку.

Процесс обновления Drupal предполагает загрузку нешифрованного XML-файла, однако, согласно Арнабольди, он может содержать версию CMS с бэкдором или версию из недоверенного источника. Так, в ходе PoC-атаки эксперт без проблем загрузил апдейт с нарочитым именем «7.41 Backdoored». Если процесс обновления запущен и модуль удалось активировать, атакующий теоретически сможет получить пароль к базе данных Drupal и выполнить код.

Поскольку патча пока нет, Арнабольди настоятельно рекомендует загружать обновления для Drupal и аддонов вручную.

Один из обнаруженных IOActive багов не является уязвимостью, это упущение, создающее у пользователя ложное чувство безопасности. Дело в том, что две новейшие версии CMS, в том числе ноябрьская, не предупреждают пользователя о сетевых проблемах, возникающих в процессе установки обновлений, они лишь подтверждают, что апдейт произведен успешно.

Наличие новых обновлений для Drupal можно проверить вручную, пройдя по ссылке Check Manually, однако здесь тоже обнаружилась проблема. По свидетельству Арнабольди, эту же статическую привязку можно использовать для подделки межсайтовых запросов или эксплойта уязвимости в Drupal версий ниже восьмой, открывающей возможность для подмены запросов на стороне сервера.

«Администраторы могут неумышленно заставить сервер запрашивать неограниченный объем информации с updates.drupal.org, что создаст перегрузку в сети», — пишет исследователь.

В комментарии Threatpost Арнабольди отметил, что давно существующие Drupal-сайты могут также подвергнуться атаке на отказ в обслуживании в том случае, если пропускная способность нисходящих каналов меньше пропускной способности вышестоящей магистрали drupal.org.

Представитель IOActive также поведал, что исследователи в частном порядке обсудили уязвимости с ИБ-специалистами Drupal и в итоге договорились не закрывать публичный доступ к теме шифрования на Drupal.org. Ветка, посвященная проблемам шифрования, появилась в апреле 2012 года; вопрос был вновь поднят в минувшем ноябре, когда Арнабольди связался с ИБ-службой Drupal.

Представители Drupal пока не ответили на запрос Threatpost о комментарии. Компания, со слов Арнабольди, не имела ничего против инициативы IOActive в отношении раскрытия брешей, даже той, что чревата CSRF.

«Уязвимость CSRF более серьезна, так как некоторых специалистов ИБ-службы тревожат возможные последствия эксплойта для drupal.org, — поясняет исследователь. — Такие уязвимости трудно устранить надлежащим образом, хотя у Drupal уже есть много наработок по защите от CSRF, так что эта тема для них не нова».

Данных о сроках выпуска патчей у Арнабольди нет, его также удивило, что давно известные уязвимости до сих пор не закрыты. «Я думал, что некоторые из них будут пропатчены до выхода Drupal 8, но этого не случилось», — сетует эксперт.

Следует отметить, что атаки на механизм обновления — не редкость. Так, прошлым летом обнаружилось, что апдейтер, предустановленный на некоторые смартфоны LG, не проверяет SSL-сертификат сервера, что открывает возможность для MitM-атаки. Та же IOActive нашла уязвимости в системе обновления Lenovo; одна из них позволяет обойти проверку подписи и протащить на ПК исполняемый файл с фальшивым удостоверением.

Категории: Главное, Уязвимости