برای دومین بار در یک ماه[۱]، کشف شد که Drupal به یک نقص حیایی دیگر آسیبپذیر است که میتواند به مهاجمان از راه دور اجازه دهد که حملات پیشرفتهای را نظیر دزدیدن کوکیها، ثبت کردن کلیدهای فشرده شده بر روی صفحه کلید، phishing و سرقت هویت را پیاده سازی کنند.
این آسیبپذیری توسط تیم امنیتی Drupal کشف شده است. framework مدیریتی محتوای منبع باز به یک آسیبپذیری XSS آسیبپذیر است که در یک افزونه شخص ثالث به نام CKEditor قرار دارد که از قبل در هستهی Drupal ادغام شده است تا به مدیران وبسایتها و کاربران کمک کند تا محتوای interactive تولید کنند.
CKEditor یک ویرایشگر متنِ WYSIWYG مبتنی بر جاوا اسکریپتِ محبوب است که توسط بسیاری از وبسایتها استفاده میشود، و همچنین در برخی پروژههای وبِ محبوب از پیش نصب شده است.
با توجه به توصیههای امنیتی منتشر شده[۲] توسط CKEditor، آسیبپذیری XSS ناشی از اعتبار نامناسب برچسب img در افزونه تصویر پیشرفته برای CKEditor نسخه ۵٫۴٫۱۱ و نسخههای بعد از آن میباشد.
این آسیبپذیری میتواند به یک مهاجم اجازه دهد کد HTML و کد جاوااسکریپت خود را در مرورگرِ قربانی اجرا کند و به اطلاعات حساس دسترسی پیدا کند.
تیم امنیتی Drupal دراینباره میگوید[۳]: “این آسیبپذیری ناشی از این واقعیت بود که XSS درون CKEditor در هنگام استفاده از افزونه image2 (که هسته Drupal نسخه ۸ نیز از آن استفاده میکرد) نیز اجرا میشد.”
CKEditor این آسیبپذیری را با انتشار CKEditor نسخه ۴٫۹٫۲ رفع کرده است، که در CMS نیز توسط تیم امنیتی Drupal با انتشار نسخههای ۸٫۵٫۲ و ۸٫۴٫۷ وصله شده است.
از آنجایی که افزونه CKEditor در Drupal نسخه ۷ برای بارگیری از سرورهای CDN پیکربندی شده است، تحت تأثیر این نقص قرار نمیگیرد.
با این حال، اگر شما افزونه CKEditor را به صورت دستی نصب کردهاید، توصیه میشود افزونه خود را به آخرین نسخهای که از وبسایت رسمی این شرکت دریافت کردهاید، ارتقا دهید.
Drupal به تازگی یک آسیبپذیری بحرانی دیگر را با نام Drupalgeddon2 که یک اشکال اجرای کد از راه دور بود را وصله کرد[۴]، که به یک مهاجم غیر مجاز و از راه دور اجازه میداد تا یک کد مخرب را در فرآیند نصب پیشفرض یا رایج Drupal تحت امتیازات کاربر اجرا کند که همه نسخههای Drupal از ۶ تا ۸ را تحت تأثیر قرار میدهد.
با این حال، به علت تنبلی افراد برای وصله کردنِ به موقعِ سیستمها و وبسایتهای خود، کشف شده است که آسیبپذیری Drupalgeddon2 توسط مهاجمان در سطح اینترنت مورد بهرهبرداری قرار گرفته است تا توسط آن minerهای ارزهای رمزنگاری شده[۵]، درهای پشتی و دیگر بدافزارها را تحویل دهند.
بنابراین، به کاربران به شدت توصیه میشود همیشه مشاورههای امنیتی را جدی بگیرند و سیستمها و نرمافزارهای خود را به روز نگه دارند تا از مورد حمله واقع شدن توسط هرگونه حمله سایبری جلوگیری کنند.
منابع
[۱] https://thehackernews.com/2018/04/drupal-cryptocurrency-hacking.html
[۲] https://ckeditor.com/blog/CKEditor-4.9.2-with-a-security-patch-released
[۳] https://www.drupal.org/sa-core-2018-003
[۴] https://thehackernews.com/2018/04/drupal-rce-exploit-code.html
[۵] https://thehackernews.com/2018/04/drupal-cryptocurrency-hacking.html
[۶] https://thehackernews.com/2018/04/drupal-site-vulnerability.html
ثبت ديدگاه