MKD-CIRT National Centre for Computer Incident Response
Најитно ажурирајте ги веб-страниците базирани на Drupal на најновата достапна верзија.
По втор пат во рок од еден месец, откриено е дека Drupal е ранлив на нова критична ранливост која може да им овозможи на далечинските напаѓачи да извршат напредни напади, вклучувајќи кражба на колачиња, keylogging, phishing и кражба на идентитет.
Откриено од страна на Друпал безбедносниот тим, овој систем за управување со објава на веб содржини (CMS – Content Management System) е подложен на т.н. „крос-сајт скриптирање (XSS)“ ранливост пронајдена во додатокот CKEditor кој доаѓа интегриран во инсталацијата на Drupal. Истиот се користи од страна на администраторите и корисниците за создавање на интерактивни содржини. CKEditor е популарен WYSIWYG уредувач на текст, базиран на JavaScript, кој се користи од многу веб-страници.
Според известувањето од CKEditor, XSS ранливоста произлегува од неправилната валидација на “img” знакот во додатокот Enhanced Image за CKEditor верзија 4.5.11 и понова. Ова може да му дозволи на напаѓачот да изврши произволен HTML и JavaScript код во прелистувачот на жртвата и да добие пристап до чувствителни информации. Овој додаток е воведен во CKEditor 4.3 и поддржува напреден начин на внесување на слики во содржината користејќи уредувач на текст.
CKEditor ја надмина ранливоста со издавањето на CKEditor верзијата 4.9.2, која исто така веќе е додадена во актуелната верзија од инсталацијата на Drupal со објавувањето на Drupal верзија 8.5.2 и Drupal 8.4.7.
Бидејќи додатокот на CKEditor во Drupal 7.x е конфигуриран да се вчита од CDN серверите, оваа верзија не е засегната од ранливоста.
Меѓутоа, ако имате рачно инсталирано додаток CKEditor, ви препорачуваме да ја преземете и надградите најновата верзија од официјалниот веб-сајт.
Друпал неодамна проследи уште една критична ранливост, наречена Drupalgeddon2 – bug за извршување на далечински код, која им овозможува на неавтентициран далечински напаѓач да изврши злонамерен код над стандардна инсталација на Друпал користејќи привилегии на корисникот. Со оваа ранливост се опфатени верзиите на Drupal од 6 до 8.
Веќе се забележани случаи на искористување на Drupalgeddon2 ранливоста, често за неовластено инсталирање на cryptocurrency miner или други малициозен софтвер.
Затоа, на корисниците на Drupal и другите open-source системи за управување со веб-страници им се препорачува (CMS – Content Management System) секогаш сериозно да ги земаат безбедносните препораки и навремено да ги надградуваат своите системисо цел да избегнат да станат жртви на сајбер-напад заради користење на застарени верзии на веб апликации.
Извор:
Drupal Security Advisory – Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-002