E, no entanto, o processo de atualização do Drupal contém vários bugs!

Fernando Arnaboldi, da IOActive, alertou para as três principais fraquezas no processo de atualização do Drupal que podem permitir que hackers “envenenem” as instalações do Drupal por meio de pacotes e, na pior das hipóteses, até assumam o controle dos servidores.

drupal DrupaI, um dos três principais CMSs da Internet, não é tão popular quanto WordPress e Joomla, mas são uma das ferramentas favoritas para a criação de empresas em grande escala, prontas para uso e sites altamente personalizáveis.Como qualquer CMS moderno hoje em dia, o DrupaI pode ser atualizado por sua equipe de gerenciamento de back-end simplesmente clicando em um. Para tornar as coisas ainda mais fáceis para os webmasters ocupados, o CMS também é equipado com um controlador de atualização automática, tanto para o núcleo quanto para os componentes que compõe, o que permite que os administradores saibam quando uma nova versão está disponível e permite que eles implementem rapidamente o pacote de atualização Segundo o Sr. Arnaboldi, existem três problemas com o modo como o Drupal lida com esse processo de atualização, falhas para as quais não há correções atuais.O primeiro problema está relacionado à atualização. de consultas com falha. Devido a vários problemas de conexão, os sites do Drupal às vezes podem falhar ao procurar uma versão atualizada. O problema é que, quando isso acontece, o CMS exibe a mensagem “Todos os projetos estão atualizados”, em vez de afirmar claramente que a atualização não foi concluída. Esse problema pode ser usado pelos invasores para inundar as redes de tráfego local quando ocorre um processo de atualização, forçando o CMS a imprimir um status incorreto de atualização de back-end.Em cenários menos paranóicos, esse problema pode levar o administrador do Drupal a acreditar que seu site está atualizado, enquanto na verdade permanece vulnerável a dezenas. erros perigosos, que podem se multiplicar rapidamente quando o CMS não é atualizado corretamente.Esta falha ao imprimir a mensagem de status de atualização apropriada afeta as duas versões importantes do DrupaI, 7.xe 8.x.O segundo problema que descrito pelo Sr. Arnaboldi tem a ver com o botão “Controle manual” incluído na página de atualização da DrupaI. Este botão permite que os administradores do site verifiquem novas atualizações e apliquem a atualização posteriormente. Infelizmente, esse botão específico está vulnerável a ataques de CSRF (falsificação de solicitação entre sites). “Como existe uma vulnerabilidade de CSRF em operação” O controle manual “pode ​​ser usado como um ataque de falsificação de solicitação do servidor (SSRF) contra o drupal.org”, explicou Arnaboldi. “Os gerentes podem, com relutância, forçar seus PCs a solicitar quantidades ilimitadas de informações de updates.drupal.org para consumir largura de banda da rede.” Somente as versões Drupal das versões 6.xe 7.x são afetadas. A atualização automática do Drupal 8.x está livre de erros no CSRF.

Mas esses dois erros não são tão perigosos se pensarmos no que eles realmente podem fazer. Por outro lado, a terceira desvantagem é mais crítica e tem a ver com o fato de o processo de atualização do Drupal não ser criptografado.Enviando tudo em texto simples, um invasor localizado na rede local como um computador infectado pode monitorá-lo. entre os servidores Drupal CMS e drupal.org e detecte quando um processo de atualização começa.Em seguida, um simples ataque MitM (Man-in-the-middle), comunicações falsas e o envio de pacotes maliciosos de atualizações atualizadas podem ser iniciados. no CMS, em vez disso. Esse cenário de ataque se aplica às versões básicas do núcleo DrupaI e às versões dos pacotes dos módulos dos quais ele é composto.

E, no entanto, o processo de atualização do Drupal contém vários bugs!Usando esse terceiro defeito, Arnaboldi instalou com êxito uma versão atualizada do Drupal em backdoor em um teste de site, ao qual adaptou um shell PHP reverso que lhe dava acesso ao servidor Web executando o CMS e depois extraia o nome. senha de usuário e banco de dados MySQL.

MySQL O pior de tudo é que a equipe DrupaI sabia disso em 2012, mas apenas recentemente reabrimos as discussões sobre o problema, seguindo as recentes descobertas de Arnaboldi.

Para informar: Por enquanto, enquanto os desenvolvedores do DrupaI tentarem corrigir esses problemas, o Sr. Arnaboldi recomenda que todas as instalações sejam feitas manualmente (“manualmente”, ou seja, para baixar o pacote de atualização do drupal.org para um local descompacte os arquivos e mova-os via FTP para o servidor Web).