研究人员警告说,内容管理系统Drupal中存在许多的问题, 通过中间人攻击,这些问题可能导致代码执行以及数据库凭证被窃取。
IOActive的高级安全顾问Fernando Arnaboldi说,这些漏洞存在于Drupal的更新进程中。Arnaboldi写了一个博客,并描述了其中的三个问题,其中一个多年来一直以某种形态存在着,而另外两个在本周被首次披露。
Arnaboldi声称, 存在时间最长的那个问题的起因是Drupal的更新在进行传输时未曾加密, CMS在遇到更新时也没有验证其真实性。
Arnaboldi写道,如果攻击者想要利用这个安全漏洞,就必须在同一网络中发动一个中间人攻击,。
在更新进程中,Drupal会下载一个纯文本版本的XML文件,但是Arnaboldi指出,这个XML文件可以指向一个Drupal的后门版本,或者说是一个来自不受信任的服务器的版本。在Arnaboldi的概念验证中,他将这个更新称为“7。41后门”,这个版本会被下载。更新进程开始后,攻击者会运行一个模块,从理论上讲,他们随后就可以检索Drupal数据库密码和执行代码了。
目前还没有修复方案,Arnaboldi鼓励那些使用软件的人手动下载更新及其附件,以保证安全。
另外一个新出现的问题并不完全是个漏洞,但它似乎可以将自己隐藏起来,给用户一种虚假的安全感。用户在更新过程中遇到网络问题时,CMS最新的两个版本(包括去年11月发布的最新版本)都没有发出通知。它只是告诉用户“所有项目都是最新的” ,而不是提供一个警告消息。
用户可以用“手动检查”链接检查更新,而这就是第三个问题的所在。
Arnaboldi说, 在一个跨站请求伪造攻击中,攻击者可以使用相同的静态链接,或进一步利用Drupal的漏洞进行服务器端请求伪造攻击。
Arnaboldi写道:“管理员可能不会愿意强迫他们的服务器从updates.drupal.org请求无限量的信息,消耗网络带宽。”
Arnaboldi在周三告诉Threatpost,如果一个网站的下游网络带宽低于drupal.org的上游网络带宽,那么旧的运行Drupal的站点也可能会通过类似的方式成为拒绝服务攻击的受害者。
Arnaboldi承认,IOActive和Drupal的安全团队曾私下讨论过这些问题,并且最终同意在Drupal.org上对加密问题进行公开讨论。这项活动从2012年4月开始, 去年11月, 在Arnaboldi于接触Drupal后又重新开放。
Drupal的行政人员在周三没有回应记者的询问。Arnaboldi声称, 在IOActive公开这些问题的这件事情上,该公司没有任何反对意见,甚至对CSRF漏洞表示出更多的关心。
Arnaboldi说:”CSRF漏洞是一个更敏感的问题,因为安全团队的一些成员关心drupal.org在被利用情况下的应用。CSRF漏洞总是难以被妥善解决,但他们已经为Drupal提供过多层CSRF防护,所以这对于他们来说也许不是一个新话题。”
这位研究者告诉Threatpost, Drupal看上去还没有制定出解决问题的短期计划,令人感到惊讶的是,一些问题在之前就没有解决。
Arnaboldi说:“我原本以为这些问题在发布Drupal 8之前就已经被解决了,但事实并非如此。”
攻击者针对更新机制的情况并不少见。
去年夏天,研究人员发现LG一些应用程序在更新过程中无法验证安全证书是否合法, 通过中间人攻击,可以用这些东西打开一些设备。
去年,IOActive的研究人员还找出了联想电脑更新中的一些漏洞。攻击者可以绕过签名验证,替换联想系统更新时下载的可执行文件。这样攻击者就可以创建一个虚假的CA,并使用它来创建一个可以被用来签署可执行文件的代码签名证书。
文章原文链接:https://www.anquanke.com/post/id/83254