Tags:
Node Thumbnail

Fernando Arnaboldi นักวิจัยด้านความปลอดภัยจากบริษัท IOActive สาธิตการแฮ็ก Drupal โดยอาศัยช่องโหว่ของ "กระบวนการอัพเดต" ซอฟต์แวร์ (ไม่ใช่ช่องโหว่ของตัวซอฟต์แวร์ Drupal โดยตรง)

ช่องโหว่นี้เกิดจากวิธีเช็คสถานะการอัพเดตตัวเองของ Drupal ที่ดึงไฟล์ XML จากเซิร์ฟเวอร์ updates.drupal.org มาแบบไม่เข้ารหัส ถ้าหากแฮ็กเกอร์สามารถเจาะเข้ามาในเครือข่ายเดียวกันได้ ก็สามารถปลอมไฟล์อัพเดตตัวนี้ได้ (man-in-the-middle) พอแอดมินเข้าระบบ Drupal จะเห็นข้อความเตือนให้อัพเดต ที่ชี้ไปยังไฟล์ปลอมที่แอบฝังมัลแวร์ไว้อีกทีหนึ่ง (Drupal ไม่ตรวจสอบแหล่งที่มาของไฟล์อัพเดตว่าเป็นของจริงหรือไม่)

ในกรณีที่เว็บนั้นตั้งอัพเดตอัตโนมัติก็มีความเสี่ยงกว่าการอัพเดตด้วยมือ ที่แอดมินสามารถตรวจสอบแหล่งที่มาของไฟล์ได้ง่ายกว่า

ปัญหานี้ถูกถกเถียงในหมู่นักพัฒนา Drupal ตั้งแต่ปี 2012 แต่ไม่ได้ข้อยุติ ซึ่ง Arnaboldi ก็เปิดประเด็นนี้ขึ้นมาใหม่เพื่อกลับมาคุยกันอีกครั้งว่าจะปิดช่องโหว่อย่างไร

ที่มา - IOActive, Threatpost

Get latest news from Blognone