צ'קמרקס: פרצת אבטחה קריטית בפלטפורמת דרופל
דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה
עמי רוחקס דומבה
| 21/06/2020
דור תומרקין. קרדיט: צ'קמרקס
חברת צ'קמרקס (Checkmarx) הישראלית חושפת פרצת אבטחה קריטית בדרופל (Drupal), הפלטפורמה המובילה לניהול תוכן באינטרנט, המשמשת יותר ממיליון ארגונים גלובליים, ממשלות ומוסדות להשכלה גבוהה ברחבי העולם, בהם גופי ממשל אמריקאים וגופים בפרופיל גבוה כגון: נאס"א וטסלה.
דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה. תוקף המנצל את החולשה יוכל להשתלט על פעולות האדמין של מנהל האתר או של יוצר התוכן, ולמעשה לקבל שליטה מלאה ולעשות ככל העולה על רוחו: להוסיף או לשנות תוכן, לשתול לינקים זדוניים, לפגוע בגולשים באמצעות גניבת פרטי אשראי, שמות משתמשים, ניטור וגנבת סיסמאות ועוד. בשלב מאוחר יותר במתקפה, תוקף יוכל גם להשתלט על השרת, ומשם להגיע לדאטה בייס המכיל מידע רגיש.
בצ'קמרקס פנו לדרופל, שם דירגו את הפרצה כחמורה, אישרו שכל הגרסאות הזמינות כרגע פגיעות, ותיקנו אותה תוך זמן קצר. הם שחררו עדכון לגרסאות האחרונות של דרופל ומשתמשי המערכת מסביב לעולם קיבלו התראה על בעיית אבטחה במערכת. כיוון שמדובר באתרים רבים של גופים רגישים, הבלוג הטכני יפורסם רק בעוד חודשיים, על מנת שגם המאחרים לעדכן יספיקו לעשות זאת. מאחר ופרצת האבטחה אותרה ע"י צוות המחקר של צ'קמרקס, לקוחות החברה המשתמשים ב-CxSCA, פתרון המיועד להזהיר מפני בעיות בקוד פתוח, קיבלו התראה על קיום חולשה מייד עם הימצאה.
דרופל היא מערכת לניהול תוכן בקוד פתוח המשמשת לבנייה של אתרים ואפליקציות ומתוחזקת על-ידי קהילת מפתחים. היא נחשבת לאחת משלוש המערכות החינמיות הנפוצות לניהול תוכן, לצד ג'ומלה ו-וורדפרס. היא מספקת לבעלי אתרים ממשק לניהול עצמי של מבנה האתר ותכניו. תכני הליבה של דרופל מאפשרים הקמת בלוג בתוך האתר, אפשור תגובות לדפים ופוסטים, שימוש בקטגוריות ותגיות, הקמת פורומים, רב-לשוניות (תמיכה בשפות נוספות), שילובי תכנים ומצגות ראווה ועוד.
לינק לבלוג המלא - כאן
דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה
דור תומרקין. קרדיט: צ'קמרקס
חברת צ'קמרקס (Checkmarx) הישראלית חושפת פרצת אבטחה קריטית בדרופל (Drupal), הפלטפורמה המובילה לניהול תוכן באינטרנט, המשמשת יותר ממיליון ארגונים גלובליים, ממשלות ומוסדות להשכלה גבוהה ברחבי העולם, בהם גופי ממשל אמריקאים וגופים בפרופיל גבוה כגון: נאס"א וטסלה.
דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה. תוקף המנצל את החולשה יוכל להשתלט על פעולות האדמין של מנהל האתר או של יוצר התוכן, ולמעשה לקבל שליטה מלאה ולעשות ככל העולה על רוחו: להוסיף או לשנות תוכן, לשתול לינקים זדוניים, לפגוע בגולשים באמצעות גניבת פרטי אשראי, שמות משתמשים, ניטור וגנבת סיסמאות ועוד. בשלב מאוחר יותר במתקפה, תוקף יוכל גם להשתלט על השרת, ומשם להגיע לדאטה בייס המכיל מידע רגיש.
בצ'קמרקס פנו לדרופל, שם דירגו את הפרצה כחמורה, אישרו שכל הגרסאות הזמינות כרגע פגיעות, ותיקנו אותה תוך זמן קצר. הם שחררו עדכון לגרסאות האחרונות של דרופל ומשתמשי המערכת מסביב לעולם קיבלו התראה על בעיית אבטחה במערכת. כיוון שמדובר באתרים רבים של גופים רגישים, הבלוג הטכני יפורסם רק בעוד חודשיים, על מנת שגם המאחרים לעדכן יספיקו לעשות זאת. מאחר ופרצת האבטחה אותרה ע"י צוות המחקר של צ'קמרקס, לקוחות החברה המשתמשים ב-CxSCA, פתרון המיועד להזהיר מפני בעיות בקוד פתוח, קיבלו התראה על קיום חולשה מייד עם הימצאה.
דרופל היא מערכת לניהול תוכן בקוד פתוח המשמשת לבנייה של אתרים ואפליקציות ומתוחזקת על-ידי קהילת מפתחים. היא נחשבת לאחת משלוש המערכות החינמיות הנפוצות לניהול תוכן, לצד ג'ומלה ו-וורדפרס. היא מספקת לבעלי אתרים ממשק לניהול עצמי של מבנה האתר ותכניו. תכני הליבה של דרופל מאפשרים הקמת בלוג בתוך האתר, אפשור תגובות לדפים ופוסטים, שימוש בקטגוריות ותגיות, הקמת פורומים, רב-לשוניות (תמיכה בשפות נוספות), שילובי תכנים ומצגות ראווה ועוד.
לינק לבלוג המלא - כאן
