في الأسبوع الماضي ، أغلق مطورو CMS Drupal (
الأخبار ، مزيد من التفاصيل
على موقع الويب الخاص بهم ) ثغرتين هامتين
في وقت واحد. تؤثر كلتا المسألتين على إصدارات دروبال 7.x و 8.x. تم اكتشاف الثغرة الأكثر خطورة في نظام إرسال البريد الإلكتروني المضمن (DefaultMailSystem :: mail ()). يمكنك استخدامه بطريقة تجعل من الممكن عند تنفيذ رسالة ، تنفيذ تعليمات برمجية عشوائية. والسبب في ذلك ، كالمعتاد ، هو عدم التحقق الصحيح من عدد من المتغيرات.
تم اكتشاف الثغرة الثانية في وحدة الروابط السياقية - فهي تسمح لك بتعديل عناصر صفحات الويب دون الانتقال إلى لوحة التحكم. يمكن أن يؤدي عدم التحقق من المعلمات التي تم تمريرها أثناء تنفيذ هذا الطلب إلى تنفيذ التعليمات البرمجية. صحيح ، على عكس الثغرة الأمنية الأولى ، لا يتم استغلال هذا إلا إذا كان للمهاجم بالفعل الحق في تعديل الموقع.
عادة لا تقع هذه الأخبار في الخلاصة: حسنًا ، تم العثور عليها ، مغلقة جيدًا ، أحسنت! ولكن مرة واحدة في السنة على الأقل ، يجدر النظر في أنظمة إدارة المحتوى الأكثر شيوعًا وفهم كيفية سير الأمور في المستقبل. هل هناك تجزئة لإصدارات CMS ، تشبه ، على سبيل المثال ، تجزئة نظام Android الأساسي؟ هل كل شيء سيء للغاية مع الأمان ، كما هو الحال ، على سبيل المثال ، في صناعة أجهزة إنترنت الأشياء هذه ، التي يبدو أنها ليست أجهزة إنترنت الأشياء على الإطلاق ، ولكن أجهزة التوجيه والكاميرات؟ دعنا نرى.
تحتاج أولاً إلى فهم مكان البحث. توفر المعلومات التفصيلية الكافية حول استخدام نظام إدارة محتوى معين
استطلاعات تقنية الويب . يفحص مؤلفو المورد بانتظام أكثر من 10 ملايين موقع يزورونه على الإنترنت (وفقًا لتصنيف خدمة Alexa) ويحللون أنظمة إدارة المحتوى المستخدمة. يمكن الاطلاع
على النتائج العامة للدراسة
على هذه الصفحة ، هنا رسم بياني من هناك:
حسنًا ، أولاً ، لم يكن من الممكن الحصول على معلومات حول CMS لـ 46.1٪ من المواقع ، وبشكل أدق ، لم يتم استخدام أي من الأنظمة التي يمكن لهذه الخدمة تحديدها بشكل موثوق. من بين المواقع التي تم تحديد نظام إدارة المحتوى فيها ، فإن القائد بلا منازع هو Wordpress ، وهو نوع من سوق Android CMS. يشغل Joomla و Drupal المكانين الثاني والثالث مع وجود تأخر كبير ، ثم في Top10 هناك خدمات أساسية تقدم إنشاء موقع نهائي على منصتهم الخاصة ، لأولئك الذين يحتاجون إلى أسهل وأسرع. معًا ، يتم تثبيت Joomla و Drupal و Wordpress على 68.8٪ من المواقع ذات أنظمة إدارة المحتوى المعروفة ، أو 37.2٪ من جميع المواقع من أصل 10 ملايين تمت دراستها.
التجزؤ واضح بالفعل على مستوى اختيار CMS: Wordpress هو الرائد الواضح ، ولكنه مثبت فقط على ثلث الموارد عبر الإنترنت ، ونصف المواقع تعمل بشكل عام لسبب ما. ربما لا يزال هناك مشرف كئيب يقوم بتنزيل HTML الثابت عبر FTP المدرسة القديمة. من الصعب استخلاص استنتاجات من هذا التنوع: من ناحية ، فإن التجزئة تؤدي إلى تعقيد حياة المهاجم ، من ناحية أخرى - لا أحد يعرف حقًا كيف تسير الأمور مع أمن حوالي نصف الإنترنت. في التشفير ، لطالما كانت خوارزميات التشفير المكتوبة ذاتيًا تعادل أشعل النار. هل يجب أن تكون إدارة الويب مختلفة؟
دعونا نلقي نظرة على توزيع إصدارات أنظمة إدارة المحتوى الثلاثة الأكثر شيوعًا. هنا توزيع Wordpress. تقوم w3techs بتحديث تقاريرها يوميًا بحيث يتوقع أن تكون المعلومات هي الأحدث.
ممل بطريقة أو بأخرى. دعونا نلقي نظرة على تفاصيل الإصدار الحالي 4.x:
تستخدم أكثر قليلاً من 70٪ من مواقع Wordpress (اعتبارًا من تاريخ النشر) أحدث إصدار (باستثناء التحديثات المنتظمة للإصدار الرئيسي). هذا ، بالطبع ، هو توزيع أكثر متعة من Android ، حيث يتم
استخدام الإصدار الحالي 8.x من
قبل 19.2٪ من الأجهزة ، ولكن ليس بالقدر الذي نريده.
هل هناك ما يخشاه؟ دعونا نلقي نظرة على
تاريخ إصدارات وورد. تم إصدار الإصدار 4.9 في 15 نوفمبر 2017 ، أي لمدة عام تقريبًا ، أصبح Wordpress 4.8 والإصدارات السابقة عتيقة. منذ الإصدار 4.9 ، تهدف أربعة تحديثات CMS على الأقل إلى إصلاح الثغرات الأمنية. إن مدى خطورة كل منهم هو موضوع لدراسة أكثر تفصيلاً ، على الرغم من عدم وجود أخطاء حرجة للغاية خلال العام الماضي. ومع ذلك ، فإن
إصدار يوليو 4.9.7 يغلق الثغرة الأمنية ، في ظل ظروف معينة ، مما يسمح لك بحذف الملفات خارج مجلد التحميلات.
دعونا نرى كيف كان بطل الأسبوع الماضي - CMS Drupal.
مثل هذه الأشياء. يتم استخدام أحدث إصدار من Drupal 8.x بواسطة 11.8٪ من المواقع التي تستخدم Drupal بشكل عام. الأكثر شيوعًا هو الإصدار السابق (في الإنصاف ، نلاحظ - مدعوم) الإصدار 7.x. لا تقدم W3techs تفاصيل حول إصدارات محددة داخل الفرع الرئيسي ، لذلك افترض أن كل شخص قد تم تحديثه بالفعل (وهذا بالطبع افتراض جريء). على أي حال ، ما يقرب من 10٪ من مواقع دروبال تستخدم الإصدارات غير المدعومة 4.x - 6.x.
حالة CMS Joomla هي كما يلي:
تم إصدار الإصدار الحالي من Joomla 3.8.13 مؤخرًا - في 9 أكتوبر. يمكنك معرفة عدد المواقع التي تم تحديثها إلى أحدث إصدار في مثل هذا الوقت القصير.
14.1٪ من مستخدمي الفرع 3.8. أو 5.8٪ من جميع مستخدمي جملة هم أولئك الذين تمكنوا من ترقية الموقع إلى أحدث إصدار في 13 يومًا. ما هي العواقب إذا لم تقم بتحديث نظام إدارة المحتوى في الوقت المحدد؟ سأعود إلى أمثلة لـ Wordpress ، لأن هذا هو نظام إدارة محتوى الويب الأكثر شيوعًا والأكثر اختراقًا. لذا (فجأة) ، لا تشير الرسائل المتعلقة بالاختطاف العملي للمواقع بسبب نشاط ضار في الغالب إلى كود Wordpress الرئيسي ، ولكن المكونات الإضافية الخاصة به.
على سبيل المثال ،
أخبار العام الماضي حول المكونات الإضافية التي تمت مهاجمتها حقًا ، بما في ذلك ، على سبيل المثال ، المكون الإضافي Flickr Gallery. في ديسمبر 2017 ،
حظر Wordpress ثلاثة مكونات إضافية أخرى - تم بيعها جميعًا بواسطة المبدعين ، وقام الملاك الجدد بتنفيذها في الهواء الطلق. فيما يلي
تحليل آخر لاستخدام المكونات الإضافية التي تم التخلي عنها منذ فترة طويلة من قبل المطورين ، ولديها نقاط ضعف حرجة ولا تزال تستخدم في مئات المواقع.
ولا يقتصر الأمر على الإضافات فحسب. بشكل متكرر ، يتم ذكر كلمة مرور bruteforce كطريقة عمل لمهاجمة مواقع Wordpress (على سبيل المثال ،
هنا وهنا ). وهذه المشكلة تتجاوز أيضًا قدرات مطوري Wordpress. إن تعقيد الوحشية وعدم استخدام أبسط كلمات المرور هي مهمة المسؤول ومستخدمي المواقع ، وليس المطورين.
ماذا يحدث عندما يتم اختراق أحد المواقع بنجاح؟ أعلاه ، أشير إلى الأخبار المتعلقة بتثبيت عمال المناجم ، على الرغم من ظهور النصوص الخبيثة الكلاسيكية في معظم الأحيان على المواقع. حدثت حالة كبيرة هذا الصيف: في يوليو ، تم
اختراق منصة التداول CoinDash ، علاوة على ذلك ، مباشرة أثناء جمع التبرعات كجزء من ICO. لم يتم الإبلاغ عن كيفية اختراق الموقع بالضبط ، لا يمكن بالضرورة أن يكون ثغرة في Wordpress. لكن النتيجة واضحة: في المرحلة الأولى من جمع الأموال من المشاركين المميزين على الموقع ، قاموا ببساطة بتغيير رقم المحفظة لتحويل الأموال ، ونتيجة لذلك ذهب 7.7 مليون دولار من مكافئ العملة المشفرة للمهاجمين. هناك
مناقشة مثيرة للاهتمام حول Reddit حول هذا: ألن يكون من الأكثر موثوقية إنشاء صفحة ثابتة في الحالات الحرجة؟ أوه ، لست متأكدا أيهما أكثر موثوقية.
استنادًا إلى نتائج هذه الدراسة المصغرة ، ينشأ سؤال واضح: هل من الضروري حقًا تحديث رمز CMS ، إذا لم تكن الثغرات الحرجة متاحة دائمًا ، أو غالبًا ما يتم اختراق المواقع من خلال المكونات الإضافية ، أو حتى من خلال القوة الغاشمة لكلمة المرور؟ كما هو الحال في
أجهزة التوجيه ، فإن مجموعة من الإجراءات تجلب فوائد حقيقية: تحديث CMS ، ومراجعة قائمة المكونات الإضافية المثبتة وتحديث المكونات الضرورية بالفعل بانتظام ، وتغيير عنوان URL الخاص بالمسؤول ، وكلمات المرور القوية ، والمصادقة متعددة العوامل ، ومراجعة المستخدم فقط. أمان موقع الويب (وأي شيء آخر) هو عملية وليس نتيجة.
أضف إلى قائمة المهام الاختيار المنتظم لإصدار CMS ليس بالأمر الصعب. إذا كانت منظمة تابعة لجهة خارجية تدير موقعك ، فلن يكون من الضروري مناقشة مسألة التحديثات المنتظمة بشكل منفصل. إذا كنت قد "قمت بإعداد موقع" مرة واحدة ، ومنذ ذلك الحين "يعمل فقط" بدون أي دعم - لديك مشاكل. كما رأينا اليوم ، لا يستخدم الجميع حتى هذا الإجراء البسيط لتعزيز أمن موقع ويب مثل تحديث رمز.
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.