Процесс обновления Drupal небезопасен

Александр Панасенко 11 Января 2016 - 12:53

...

Сотрудник компании IOActive Фернандо Арнаболди (Fernando Arnaboldi) обнаружил сразу несколько проблем в системе обновления популярной CMS Drupal. Исправлений для найденных багов пока нет.

Drupal входит в тройку самых популярных в мире систем управления контентом, наряду с Joomla и WordPress. И проблем у Drupal ничуть не меньше, чем у коллег по рынку.

Как и любая современная CMS, Drupal старается максимально упросить процесс обновления. Администратору достаточно нажать на соответствующую кнопку в панели управления, чтобы инициировать апдейт. Также предусмотрена система автоматической проверки обновлений как для самой CMS, так и для дополнительных модулей. Это позволяет администратору вовремя узнать о новых патчах, а затем применить их буквально в два клика. Однако Фернандо Арнаболди пишет, что упрощение не всегда идет на пользу безопасности, пишет xakep.ru.

Исследователь обнаружил, что автоматическая проверка обновлений работает весьма странно. В случае возникновения каких-либо проблем со связью, Drupal не может проверить наличие обновлений, однако не уведомляет об этом пользователя. Вместо этого CMS все равно отображает сообщение, согласно которому, на сервере работает актуальное ПО самых последних версий.

Любопытно, что Drupal 6 отображал сообщение о проблемах со связью, если возможность проверки обновлений пропадала, а вот Drupal 7 и 8 уверяют администратора, что все по-прежнему хорошо.

Конечно, всегда можно самостоятельно нажать на кнопку «Проверить обновления вручную». Однако Арнаболди заметил, что данная ссылка содержит CSRF (cross-site request forgery) уязвимость. Эту функцию можно использовать для проведения SSRF-атаки (server-side request forgery) на drupal.org. То есть сайт будет посылать на updates.drupal.org бесконечную череду запросов. Эта проблема не касается только Drupal 8.

Еще одна неприятная особенность системы обновлений Drupal: апдейты скачиваются безо всякого шифрования и не проходят должной проверки на аутентичность. Это открывает возможность для проведения атак типа man-in-the-middle, то есть злоумышленник может перехватить трафик и внедрить в апдейты малварь.

Используя последнюю уязвимость, Арнаболди сумел установить на тестовый сайт зараженную бэкдором версию обновления. Исследователь поместил в апдейт PHP shell, который предоставил ему доступ к серверу, на котором работала CMS, а затем позволил извлечь из базы MySQL имя пользователя и пароль.

Особенно примечательно, что разработчикам Drupal известно об этих проблемах с 2012 года, однако об устранении уязвимостей они задумались лишь недавно, после изысканий Арнаболди. Пока патчей, делающих процесс обновления безопаснее, нет.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 19 Июня 2025 - 09:54

Целевые атаки Таргетированные атаки Атаки на АСУ ТП Корпорации Государство

На критическую инфраструктуру России было совершено 208 тыс. кибератак

Заместитель секретаря Совета безопасности России Алексей Шевцов заявил, что по итогам 2024 года на объекты критической инфраструктуры было совершено более 208 тысяч кибератак, отнесённых к категории опасных.

Эти данные он привёл на I Международной конференции государств — членов ОДКБ по вопросам кибербезопасности, проходящей в Киргизии.

Главной темой мероприятия стало обеспечение безопасности глобальной информационно-коммуникационной технологической среды и обмен опытом в сфере защиты национальных интересов.

Согласно данным компании Red Security, 64% всех зафиксированных кибератак в 2024 году были направлены на объекты критической информационной инфраструктуры (КИИ). Причём 68% из них носили критичный характер. Для сравнения: в 2023 году доля атак на КИИ составляла 47%.

«Отмечается рост количества целенаправленных и хорошо подготовленных атак — их число увеличилось примерно на 60% по сравнению с 2023 годом. Наши исследования показывают, что в 2025 году вредоносная активность, особенно в отношении объектов КИИ, сохранится на высоком уровне», — прокомментировал ситуацию технический руководитель RED Security SOC Ильназ Гатауллин.

Red Security выделяет промышленность как наиболее атакуемую отрасль: на неё пришлась треть всех атак. Центр мониторинга и реагирования на инциденты информационной безопасности госкорпорации «Ростех» (RT Protect SOC) по итогам 2024 года зафиксировал удвоение объёма обрабатываемых событий — до 3 трлн.

«Суть киберугроз меняется, — заявил в интервью «Известиям» первый заместитель генерального директора АО «РТ-Информационная безопасность» Артём Сычёв. — Хакеры больше не идут в лоб. Они действуют как разведчики: проникают незаметно, наблюдают, маскируются под штатную активность, а затем наносят точечные удары. В 2024 году наш SOC обработал 2,94 трлн событий, подтвердил более 2 тыс. атак и научился выявлять угрозы ещё до того, как они могут нанести ущерб».

Основные векторы атак включали фишинг и использование скомпрометированных учётных данных. Часто атаки осуществлялись не напрямую, а через партнёров и подрядчиков. Также получило широкое распространение использование уязвимостей в популярном ПО, таких как WinRAR и Outlook.

По информации, предоставленной «Известиям» экспертами департамента киберразведки (Threat Intelligence) компании F6, в 2024 году количество активных APT-группировок, атакующих российские компании, удвоилось — с 14 в 2023 году до 27. Одновременно значительно возросла и интенсивность атак.

Наибольшую активность против инфраструктуры «Ростеха» проявляли группировки HeadMare и Cloud Atlas.