Sicherheitswoche 40: Sicherheitslücken in CMS Drupal und nicht nur

    Letzte Woche haben die Entwickler von CMS Drupal ( News , mehr auf ihrer Website ) nur zwei kritische Schwachstellen geschlossen. Beide Probleme betreffen die Drupal-Versionen 7.x und 8.x. Die schwerwiegendste Schwachstelle wurde im integrierten E-Mail-Versandsystem (DefaultMailSystem :: mail ()) gefunden. Sie können es so verwenden, dass es bei der Verarbeitung einer Nachricht möglich ist, beliebigen Code auszuführen. Dies ist, wie üblich, darauf zurückzuführen, dass einige Variablen nicht ordnungsgemäß verifiziert wurden.

    Die zweite Schwachstelle wurde im Modul "Kontextuelle Links" gefunden. Sie ermöglicht das Ändern von Elementen von Webseiten, ohne in das Steuerungsfeld zu wechseln. Wenn die während der Ausführung einer solchen Anforderung übergebenen Parameter nicht überprüft werden, kann dies auch zur Ausführung des Codes führen. Im Gegensatz zur ersten Sicherheitsanfälligkeit wird diese jedoch nur ausgenutzt, wenn der Angreifer bereits über die Rechte zum Bearbeiten der Website verfügt.

    Solche Nachrichten kommen normalerweise nicht in den Verdauungsbereich: gut gefunden, gut geschlossen, gut gemacht! Sie sollten sich jedoch mindestens einmal im Jahr die gängigsten Content-Management-Systeme ansehen und aus der Perspektive verstehen, wie die Sicherheit läuft. Gibt es eine Fragmentierung von CMS-Versionen, ähnlich der Fragmentierung der Android-Plattform? Ist alles so schlecht mit der Sicherheit, wie zum Beispiel in der Branche der IoT-Geräte, bei denen es sich nicht einmal um IoT-Geräte handelt, sondern um Router und Kameras? Mal sehen.

    Zuerst müssen Sie verstehen, wo Sie suchen müssen. Genügend detaillierte Informationen zur Verwendung eines CMS geben Web-Technologieumfragen . Die Autoren der Ressource durchsuchen regelmäßig die 10 Millionen am häufigsten besuchten Websites im Internet (laut Alexa-Bewertungsdienst) und analysieren die verwendeten Content-Management-Systeme. Die allgemeinen Ergebnisse der Studie können auf dieser Seite eingesehen werden. Hier ist die Grafik von dort:


    Zunächst einmal war es nicht möglich, Informationen zu CMS für 46,1% der Standorte zu erhalten, genauer gesagt, dort wird keines der Systeme verwendet, die dieser Dienst zuverlässig identifizieren kann. Unter den Standorten, an denen CMS definiert wurde, ist der unbestrittene Marktführer Wordpress, eine Art Android-CMS-Markt. Joomla und Drupal belegen den zweiten und dritten Platz mit einer deutlichen Verzögerung, und dann gibt es in Top10 hauptsächlich Dienste, die die Erstellung einer vorgefertigten Website auf ihrer eigenen Plattform ermöglichen - für diejenigen, die einfacher und schneller sein müssen. Zusammen werden Joomla, Drupal und Wordpress an 68,8% der Standorte mit einem bekannten CMS installiert. Dies entspricht 37,2% aller Standorte der 10 Millionen untersuchten Standorte.

    Auf der Ebene der CMS-Auswahl gibt es bereits eine Fragmentierung: Wordpress ist der klare Marktführer, aber selbst auf nur einem Drittel der Online-Ressourcen ist es installiert, und die Hälfte der Websites arbeitet im Allgemeinen unverständlich. Vielleicht gibt es einen düsteren Admin, der immer noch Old School ist und statisches HTML über FTP hochlädt. Aus dieser Vielfalt lassen sich nur schwer Schlüsse ziehen: Zum einen erschwert die Fragmentierung das Leben eines Angreifers, zum anderen - niemand weiß wirklich, wie sich die Sicherheitslage in etwa der Hälfte des Internets befindet. In der Kryptographie wurden selbstgeschriebene Verschlüsselungsalgorithmen lange mit einem scharf geschärften Rechen gleichgesetzt. Sollte das Webmanagement anders sein?

    Schauen wir uns die Verteilung der Versionen für die drei beliebtesten CMS an. Hier ist die Distribution für WordPress. w3techs aktualisieren ihre Berichte täglich, sodass die Informationen voraussichtlich die neuesten sind.


    Irgendwie langweilig. Schauen wir uns die Details der aktuellen Version 4.x an:


    Etwas mehr als 70% der Wordpress-Websites verwenden (zum Zeitpunkt der Veröffentlichung) die aktuellste Version (ohne regelmäßige Updates der Hauptversion). Dies ist natürlich eine angenehmere Distribution als Android, wo die aktuelle Version 8.x von 19,2% der Geräte verwendet wird, jedoch nicht so viel, wie wir möchten.

    Und es gibt etwas zu fürchten? Schauen wir uns die Geschichte der Versionen von Wordpress an. Die Version 4.9 wurde am 15. November 2017 veröffentlicht, dh WordPress 4.8 und frühere Versionen sind seit fast einem Jahr veraltet. Seit der Veröffentlichung von Version 4.9 wurden mindestens vier CMS-Updates gesendet, um Schwachstellen zu beheben. Wie schwerwiegend das Risiko eines jeden von ihnen ist, ist Gegenstand eingehenderer Untersuchungen, obwohl im letzten Jahr keine kritischen Fehler aufgetreten sind. Jedoch im JuliVersion 4.9.7 schließt die Sicherheitsanfälligkeit unter bestimmten Bedingungen, wodurch Dateien außerhalb des Upload-Ordners gelöscht werden können.

    Mal sehen, wie es dem Helden der letzten Woche geht - CMS Drupal.


    Solche Dinge Die neueste Version von Drupal 8.x wird von 11,8% der Websites verwendet, die im Allgemeinen Drupal verwenden. Am populärsten ist die vorherige (Hinweis aus Gründen der Gerechtigkeit - unterstützt) Version 7.x. Die Angabe zu bestimmten Releases im Rahmen des Hauptzweigs von w3techs trifft dies nicht zu. Nehmen Sie also an, dass alle bereits aktualisiert wurden (dies ist natürlich eine mutige Annahme). In jedem Fall verwenden fast 10% der Drupal-Sites die nicht unterstützten Versionen 4.x - 6.x.

    Die Situation für CMS Joomla ist wie folgt:


    Die aktuelle Version von Joomla 3.8.13 wurde kürzlich am 9. Oktober veröffentlicht. Sie können sehen, wie viel Prozent der Websites in so kurzer Zeit auf die neueste Version aktualisiert wurden.


    14,1% aller Benutzer der Branche 3.8. Oder 5,8% aller Joomla-Benutzer sind diejenigen, die die Website innerhalb von 13 Tagen auf die neueste Version aktualisieren konnten. Was sind die Folgen, wenn Sie das CMS nicht rechtzeitig aktualisieren? Wechseln Sie wieder zu Wordpress-Beispielen, da dies das beliebteste und am meisten geknackte Web Content Management-System ist. (Plötzlich) erwähnen Berichte über die praktische Entführung von Websites wegen böswilliger Aktivitäten meist nicht den Haupt-Wordpress-Code, sondern dessen Plugins.

    Hier wurden beispielsweise die letztjährigen Nachrichten über Plugins angegriffen, darunter das Flickr Gallery-Plugin. Im Dezember 2017 blockierte Wordpress drei weitere Plugins - alle wurden von den Erstellern verkauft, und die neuen Besitzer führten Hintertüren ein. Hier ist eine andere Analyse.Plug-in-Anwendungen, die vor langer Zeit von Entwicklern aufgegeben wurden, weisen kritische Schwachstellen auf und werden immer noch auf Hunderten von Websites verwendet.

    Und es sind nicht nur Plugins. Wiederholt wird ein Brute-Force-Kennwort als Arbeitsmethode für den Angriff auf Wordpress-Sites (beispielsweise hier und hier ) genannt. Dieses Problem liegt auch außerhalb der Möglichkeiten von Wordpress-Entwicklern. Es ist Aufgabe des Administrators und der Site-Benutzer, nicht den Entwicklern, es für Bruteforce schwierig zu machen und keine einfachen Passwörter zu verwenden.

    Was passiert, wenn eine Site erfolgreich gehackt wird? Ich beziehe mich oben auf die Nachrichten über die Installation von Bergleuten, obwohl auf Websites meistens klassische bösartige Skripts angezeigt werden. Im Sommer dieses Jahres gab es einen Anhaltspunkt: Im Juli wurde es gehacktCoinDash-Marktplatz und direkt beim Fundraising im Rahmen von ICO. Wie genau die Website gehackt wurde - nicht berichtet wurde, könnte dies nicht unbedingt eine Sicherheitsanfälligkeit in Wordpress sein. Das Ergebnis ist jedoch offensichtlich: In der ersten Phase des Sammelns von Geldern von privilegierten Teilnehmern auf der Website wurde einfach die Geldbörsennummer geändert, um Geld zu transferieren. Infolgedessen gingen Kryptowährungsäquivalent in Höhe von 7,7 Mio. USD an die Eindringlinge. Zu Reddit gibt es dazu eine interessante Diskussion : Wäre es nicht sicherer, in kritischen Fällen eine statische Seite zu erstellen? Oh, nicht sicher, was sicherer ist.

    Nach den Ergebnissen dieser Mini-Studie stellt sich eine klare Frage: Ist es notwendig, den CMS-Code zu aktualisieren? Wenn kritische Schwachstellen nicht immer bestehen, werden Hacker-Sites häufig durch Plug-Ins oder sogar Brute-Force-Passwörter ausgeführt? Wie bei Routern bringt eine Reihe von Maßnahmen echte Vorteile mit sich: Aktualisieren des CMS, Überarbeiten der Liste der installierten Plugins und regelmäßiges Aktualisieren der wirklich benötigten Plug-Ins, Ändern der Administrator-URL, starker Kennwörter, Authentifizierung mit mehreren Faktoren und nur die Benutzerüberwachung. Website-Sicherheit (und alles andere) ist ein Prozess und kein Ergebnis.

    Eine regelmäßige Überprüfung der CMS-Version ist nicht so schwierig, um sie zur Aufgabenliste hinzuzufügen. Wenn Ihre Site von einer Drittanbieter-Organisation verwaltet wird, ist es nicht überflüssig, das Problem der regelmäßigen Installation von Updates gesondert zu diskutieren. Wenn Sie einmal "eine Site einrichten" haben und seitdem "es funktioniert" ohne Support, haben Sie Probleme. Wie wir heute gesehen haben, wird selbst eine so einfache Maßnahme zur Erhöhung der Sicherheit einer Website, wie beispielsweise das Aktualisieren des Codes, keineswegs genutzt.

    Haftungsausschluss: Die Meinungen in diesem Digest stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen grundsätzlich, Meinungen mit gesunder Skepsis zu behandeln.

    Jetzt auch beliebt: