استفاده از آسیب‌پذیری قدیمی Drupal برای نفوذ

شروع موضوع توسط AHMAD ‏Jun 26, 2016 در انجمن اخبار وب مستر

  1. AHMAD

    AHMAD ایران وب ادمین عضو کادر مدیریت ناظر انجمن

    آسیب‌پذیری قدیمی Drupal هنوز هم برای نفوذ استفاده می‌شود!

    یک آسیب‌پذیری جدی SQL Injection در سامانه مدیریت محتوای محبوب Drupal، پس از ۱۹ ماه که توسط توسعه‌دهندگان Drupal وصله شد، هنوز هم به وسیله‌ی عوامل مخرب برای نفوذ به وبگاه‌ها استفاده می‌شود.

    این آسیب‌پذیری مورد نظر، که دارای شناسه CVE-۲۰۱۴-۳۷۰۴ است و به وسیله‌ی محققان به نام «Drupalgeddon» نامگذاری شده است، به یک رابط کاربری انتزاعی پایگاه داده که توسط Drupal 7 استفاده می‌شود، مربوط است. این حفره به نفوذگران اجازه می‌دهد تا درخواست‌های SQL دلخواه را اجرا کنند و در اثر آن اجازه‌ی دسترسی را افزایش داده و کدهای دلخواه را اجرا کنند. این وصله در ۱۵ اکتبر سال ۲۰۱۴ منتشر شده است.

    تنها دو هفته پس از اینکه وصله‌ای برای این آسیب‌پذیری منتشر شد، Drupal هشدار داد که همه‌ی نسخه‌ها باید به عنوان نسخه‌های در خطر تلقی شوند، مگر اینکه ظرف هفت ساعت این وصله‌ها اعمال شوند.

    حتی امروزه نیز برخی از سازمان‌ها وجود دارند که این آسیب‌پذیری‌ها را وصله نکرده‌اند. برای مثال، نسخه‌ای از Drupal که در اثر این حفره آسیب‌پذیر بوده است، در درگاه مشتریان شرکت حقوقی Mossack Fonseca مستقر در پاناما وجود داشته که اخیراً نفوذگران میلیون‌ها رایانامه، پایگاه داده، تصاویر و اسناد را از آن نشت داده‌اند.

    شرکت امنیتی Sucuri به بررسی این حملات که آسیب‌پذیری CVE-۲۰۱۴-۳۷۰۴ را نشانه رفته‌اند، پرداخته است. بنا به گفته‌ی این شرکت، پس از حملات اولیه در اکتبر و نوامبر سال ۲۰۱۴، هنگامی که هزاران وبگاه، مورد حمله قرار گرفت، تعداد حملات کاهش یافت، اما در طی سالهای ۲۰۱۵ و ۲۰۱۶ روند ثابتی داشته است.

    شرکت Sucuri سه‌شنبه در پست وبلاگ خود گفته است: «اگر کسی این وصله‌ها را اعمال نکرده است، مطمئناً امروزه نیز در معرض خطر قرار دارد. اما این موجب نشده است که نفوذگران برای یافتن راه‌های ورودی جدید تلاش نکنند و حتی وبگاه‌های در خطر را بیشتر از آن آلوده نکنند».


    در بسیاری از موارد، عوامل مخرب از آسیب‌پذیری SQL Injectionبرای ایجاد حساب‌های مدیریت جدید روی وبگاه Drupal استفاده کرده‌اند که برخی از آن‌ها به نام‌های Derevos Holako و Mr.R۰۰t۲_۴۰ نامیده شده‌اند. مشخص نیست که آیا نفوذگران تنها یک بار برای دسترسی به این وبگاه‌ها تلاش کرده باشند، چرا که سوکوری همه‌ی تلاش‎ها را پیش از آنکه نفوذگران موفق به ایجاد خسارتی شوند، مسدود کرده است.

    با این حال، این شرکت امنیتی اشاره کرده است که رشد فزاینده‌ای را در حملات هرزنامه SEO علیه وبگاه‌های Drupal 7 مشاهده کرده است.


    منبع : http://www.securityweek.com/old-drupal-flaw-still-used-hack-websites
     
    Mansour از این پست تشکر کرده است.

به اشتراک بگذارید

س