Drupal به‌روزرسانی‌های هسته CMS را برای وصله کردن چندین آسیب‌پذیری منتشر کرد.

دروپال، یکی از محبوب‌ترین سیستم‌های مدیریت محتوا، به‌روزرسانی‌های امنیتی را برای رفع چندین آسیب‌پذیری بسیار مهم در هسته دروپال منتشر کرده است که می‌تواند به حمله‌کنندگان اجازه دهد تا امنیت صدها هزار وب‌سایت را به خطر بیندازند.

با توجه به گزارشی که امروز توسط توسعه‌دهندگان دروپال منتشر شد[۱]، تمام آسیب‌پذیری‌های امنیتی دروپال در ماه جاری در کتابخانه‌های شخص ثالث قرار دارند که در دروپال نسخه ۸٫۶، دروپال نسخه ۸٫۵ و یا قدیمی‌تر و دروپال نسخه‌ی ۷ قرار دارند.

یکی از این نقص‌های امنیتی یک آسیب‌پذیری ^(۱)XSS است که در یک افزونه‌ی شخص ثالث به نام JQuery قرار دارد که محبوب‌ترین کتابخانه‌ی جاوا اسکریپت است که توسط میلیون‌ها وب‌سایت استفاده می‌شود و همچنین در هسته دروپال به‌عنوان پیش‌فرض قرار دارد.

هفته گذشته، JQuery آخرین نسخه از این نرم‌افزار یعنی نسخه‌ی۳٫۴٫۰ را منتشر کرد[۲] تا آسیب‌پذیری‌ گزارش‌شده را که روی تمامی نسخه‌های قبلی این کتابخانه تأثیر می‌گذارد را وصله کند. برای این آسیب‌پذیری هنوز شماره‌ی CVE تعیین نشده است.

در گزارش منتشرشده دراین‌باره آمده است: “jQuery نسخه ۳٫۴٫۰ شامل اصلاح برخی رفتارهای ناخواسته هنگام استفاده از jQuery.extend (true، {}، …) است. اگر یک منبع شئ unsanitized حاوی یک __proto__ property قابل‌شمارش باشد، می‌تواند Object.prototype اصلی^(۲) را گسترش دهد.”

“ممکن است این آسیب‌پذیری با برخی از ماژول‌های دروپال قابل بهره‌برداری باشد.”

بقیه سه آسیب‌پذیری امنیتی در اجزای PHP Symfony که توسط هسته دروپال استفاده می‌شوند، قرار دارند و می‌توانند منجر به حملات XSS یا CVE-2019-10909، اجرای کد از راه دور (CVE-2019-10910) و حملات دور زدن احراز هویت (CVE-2019-1091) شوند.

با توجه به محبوبیت بهره‌بردارهای Drupal در میان هکرها، به شما به‌شدت توصیه می‌شود که آخرین به‌روزرسانی این سیستم مدیریت محتوا را در اسرع وقت نصب کنید:

• اگر از Drupal نسخه‌ی ۸٫۶ استفاده می‌کنید، به دروپال نسخه‌ی ۸٫۶٫۱۵ به‌روزرسانی کنید.
• اگر از Drupal نسخه‌ی ۸٫۵ استفاده می‌کنید، به دروپال نسخه‌ی ۸٫۵٫۱۵ به‌روزرسانی کنید.
• اگر از Drupal نسخه‌ی ۷ استفاده می‌کنید، به دروپال نسخه ۷٫۶۶ به‌روزرسانی کنید.

تقریباً دو ماه پیش، سازندگان Drupal یک آسیب‌پذیری RCE بحرانی در هسته دروپال را بدون هیچ‌گونه جزئیات فنی در مورد این نقص که می‌توانست به مهاجمان از راه دور اجازه دهد وب‌سایت مشتریان خود را هک کنند؛ برطرف کردند[۳].

اما علیرغم این، بهره‌بردار اثبات ادعا برای این آسیب‌پذیری تنها دو روز پس از انتشارِ نسخه‌های وصله شده از نرم‌افزار، به‌طور عمومی در دسترس قرار گرفت.

پس‌ازآن، چندین فرد و همچنین گروهی از هکرها به‌طور فعال شروع به بهره‌برداری از این نقص کرده تا miner های ارزهای رمزنگاری‌شده را در وب‌سایت‌های آسیب‌پذیر دروپال که CMS های خود را به آخرین نسخه به‌روزرسانی نکرده بودند، نصب کنند.

در سال گذشته، مهاجمان همچنین صدها هزار وب‌سایت دروپال را مورد حملات دسته‌جمعی قرار دادند که از بهره‌بردارهای موجود در اینترنت استفاده کرده و از دو آسیب‌پذیری جداگانه مهم و از راه دور اجرای کد را که Drupalgeddon2 و Drupalgeddon3 نامیده می‌شدند[۴و۵]، برای این حملات استفاده کردند.

در این موارد نیز حملات به‌زودی پس از افشای PoC برای هر دو آسیب‌پذیری در اینترنت، آغاز شدند که پس‌ازآن تلاش برای بهره‌برداری گسترده از آن‌ها ادامه داشت.

مطلب دراین‌باره بسیار است اما به‌طور خلاصه: وب‌سایت‌های خود را قبل از اینکه خیلی دیر شود، وصله کنید.

منابع

[۱] https://www.drupal.org/security

[۲] https://blog.jquery.com/2019/04/10/jquery-3-4-0-released

[۳] https://apa.aut.ac.ir/?p=5923

[۴] https://thehackernews.com/2018/04/drupal-cryptocurrency-hacking.html

[۵] https://thehackernews.com/2018/04/drupalgeddon3-exploit-code.html

[۶] https://thehackernews.com/2019/04/drupal-security-update.html

(۱) cross-site scripting
(۲) native