آسیب‌پذیر شدن سایت‌های Drupal نسبت به حمله مهاجمان به علت نقص در Symphony

زمان آن فرا رسیده است که وب‌سایت‌های Drupal خود را به‌روزرسانی کنید.

Drupal که یک سیستم مدیریت محتوای منبع باز محبوب است، یک نسخه جدید از نرم‌افزار خود را به‌منظور وصله کردن یک آسیب‌پذیری دور زدن امنیت منتشر کرده است. این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا کنترل وب‌سایت‌های آلوده‌شده را در اختیار گیرد.

این آسیب‌پذیری که CVE-2018-14773 نام‌گذاری شده است، در یک جزء از یک کتابخانه شخص ثالث به نام Symfony HttpFoundation component قرار دارد که در هسته Drupal مورداستفاده قرار می‌گیرد و بر روی نسخه‌های قبل از نسخه ۸٫۵٫۶ تأثیرگذار است.

ازآنجاکه Symfony که یک فریمورک برنامه تحت وب با مجموعه‌ای از اجزای PHP است، توسط بسیاری از پروژه‌ها استفاده می‌شود، این آسیب‌پذیری به‌طور بالقوه می‌تواند بسیاری از برنامه‌های تحت وب را در معرض خطر تهاجم قرار دهد.

آسیب‌پذیری جزء Symphony

 با توجه به گزارشی که توسط Symfony منتشر شده است[۱]، این آسیب‌پذیری دور زدن امنیت به علت پشتیبانی Symfony از هدرهای HTTP یعنی legacy  و risky به وجود آمده است.

Symfony در این رابطه گفته است: “پشتیبانی از یک هدر IIS (legacy) که به کاربران اجازه می‌دهد مسیر را در درخواست URL از هدرهای درخواست HTTP یعنی X-Original-URL یا X-Rewrite-URL نادیده بگیرند^(۱)، به کاربر امکان دسترسی به یک URL را می‌دهد، اما Symfony یک نام دیگر را بازمی‌گرداند که می‌تواند محدودیت‌ها را در cache ها و وب سرورهای سطح بالاتر دور بزند.

یک حمله از راه دور می‌تواند از طریق یک مقدار هدر HTTP برای مثال X-Original-URL یا X-Rewrite-URL که به‌طور خاص دستکاری شده‌اند، از این آسیب‌پذیری بهره‌برداری کند. در حقیقت با این کار مسیر را در درخواست URL نادیده می‌گیرد تا به‌طور بالقوه محدودیت‌های دسترسی را دور زده و این کار منجر به این می‌شود که سیستم هدف یک URL متفاوت را render کند.

این آسیب‌پذیری در Symfony نسخه‌های ۲٫۷٫۴۹، ۲٫۸٫۴۴، ۳٫۳٫۱۸، ۳٫۴٫۱۴، ۴٫۰٫۱۴ و ۴٫۱٫۳ برطرف شده است و Drupal این مشکل را در آخرین نسخه یعنی نسخه ۸٫۵٫۶ رفع کرده است[۲].

همین نقص در فریمورک Zend نیز وجود دارد.

علاوه بر Symfony، تیم Drupal یک آسیب‌پذیری مشابه را نیز در کتابخانه‌های Zend Feed و Diactoros که در هسته Drupal قرار دارند، کشف کرده است[۳] و آن‌ را آسیب‌پذیری URL Rewrite نامیده است.

بااین‌حال، این CMS محبوب گفته است که هسته Drupal از این قابلیت آسیب‌پذیر استفاده نمی‌کند، اما به کاربران توصیه کرده درصورتی‌که سایت یا ماژول آن‌ها به‌طور مستقیم از Zend Feed یا Diactoros استفاده می‌کند، وب‌سایت خود را وصله کنند.

Drupal میلیون‌ها وب‌سایت را در اختیار دارد و متأسفانه این CMS اخیراً[۴] و پس از افشای یک آسیب‌پذیری بسیار خطرناکِ اجرای کد از راه دور به نام Drupalgeddon2 تحت حملات شدیدی قرار گرفته است [۵].

بنابراین، قبل از اینکه مهاجمان از این نقص جدید برای کنترل وب‌سایت شما بهره‌برداری کنند، به شما به‌شدت توصیه می‌شود تا وب‌سایت خود را در اسرع وقت به‌روزرسانی کنید.

منابع

[۱]https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

[۲] https://www.drupal.org/SA-CORE-2018-005

[۳] https://framework.zend.com/security/advisory/ZF2018-01

[۴] https://apa.aut.ac.ir/?p=4066

[۵] https://thehackernews.com/2018/04/drupal-rce-exploit-code.html

[۶] https://thehackernews.com/2018/08/symfony-drupal-hack.html

(۱) override