צ'קמרקס: פרצת אבטחה קריטית בפלטפורמת דרופל

דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה

דור תומרקין. קרדיט: צ'קמרקס

חברת צ'קמרקס (Checkmarx) הישראלית חושפת פרצת אבטחה קריטית בדרופל (Drupal), הפלטפורמה המובילה לניהול תוכן באינטרנט, המשמשת יותר ממיליון ארגונים גלובליים, ממשלות ומוסדות להשכלה גבוהה ברחבי העולם, בהם גופי ממשל אמריקאים וגופים בפרופיל גבוה כגון: נאס"א וטסלה.

דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה. תוקף המנצל את החולשה יוכל להשתלט על פעולות האדמין של מנהל האתר או של יוצר התוכן, ולמעשה לקבל שליטה מלאה ולעשות ככל העולה על רוחו: להוסיף או לשנות תוכן, לשתול לינקים זדוניים, לפגוע בגולשים באמצעות גניבת פרטי אשראי, שמות משתמשים, ניטור וגנבת  סיסמאות ועוד. בשלב מאוחר יותר במתקפה, תוקף יוכל גם להשתלט על השרת, ומשם להגיע לדאטה בייס המכיל מידע רגיש.

בצ'קמרקס פנו לדרופל, שם דירגו את הפרצה כחמורה, אישרו שכל הגרסאות הזמינות כרגע פגיעות, ותיקנו אותה תוך זמן קצר. הם שחררו עדכון לגרסאות האחרונות של דרופל ומשתמשי המערכת מסביב לעולם קיבלו התראה על בעיית אבטחה במערכת. כיוון שמדובר באתרים רבים של גופים רגישים, הבלוג הטכני יפורסם רק בעוד חודשיים, על מנת שגם המאחרים לעדכן יספיקו לעשות זאת. מאחר ופרצת האבטחה אותרה ע"י צוות המחקר של צ'קמרקס, לקוחות החברה המשתמשים ב-CxSCA, פתרון המיועד להזהיר מפני בעיות בקוד פתוח, קיבלו התראה על קיום חולשה מייד עם הימצאה. 

דרופל היא מערכת לניהול תוכן בקוד פתוח המשמשת לבנייה של אתרים ואפליקציות ומתוחזקת על-ידי קהילת מפתחים. היא נחשבת לאחת משלוש המערכות החינמיות הנפוצות לניהול תוכן, לצד ג'ומלה ו-וורדפרס. היא מספקת לבעלי אתרים ממשק לניהול עצמי של מבנה האתר ותכניו. תכני הליבה של דרופל מאפשרים הקמת בלוג בתוך האתר, אפשור תגובות לדפים ופוסטים, שימוש בקטגוריות ותגיות, הקמת פורומים, רב-לשוניות (תמיכה בשפות נוספות), שילובי תכנים ומצגות ראווה ועוד.

לינק לבלוג המלא - כאן

אולי יעניין אותך גם

יוסי כרמיל, מנכ"ל סלברייט. צילום: שלומי יוסף

סלברייט מדווחת על התוצאות לרבעון הראשון של 2021

נהנית מגידול משמעותי בהכנסות השנתיות ובהכנסות ממנויים בהשוואה לשנה שעברה. מנכ״ל החברה: מרוצים מהצלחתנו להוציא לפועל את אסטרטגיית הצמיחה שלנו, ולהמשיך להציע ללקוחותינו הפתרונות המסייעים ולהאיץ תהליכי חקירה