Уязвимость в Drupal поставила под угрозу российские госсайты

20.10.2014

Оригинал: internet.cnews.ru

Автор: Сергей Попсулин

Специалисты германской компании SektionEins обнаружили критическую уязвимость в платформе с открытым исходным кодом Drupal, служащей для управления сайтами. Суть уязвимости заключается в том, что злоумышленник может без каких-либо прав выполнить произвольный запрос к базе данных SQL сайта, базирующегося на Drupal. Специально созданные для эксплуатации этой уязвимости эксплойты позволяли злоумышленникам незаметно изменить пароль администратора Drupal.

Как сообщил представитель SektionEins Стефан Хорст (Stefan Horst), уязвимость содержится в версиях Drupal начиная с 7.0 и заканчивая 7.31 включительно.

Специалисты SektionEins сообщили сообществу разработчиков Drupal об уязвимости месяц назад, но обнародовали информацию о ней в открытом доступе только сейчас, после того, как был выпущен патч.

Опасность уязвимости заключается в том, что она не оставляет никаких следов в системе — выполненные таким образом запросы не отражаются в логах. Кроме того, отключение сайта штатными средствами Drupal (режим техобслуживания) не ограничивает использование вышеописанного бага. Злоумышленник получает прямой доступ к базе данных, из-за чего может произойти утечка информации, пояснили CNews в российской компании Digital Security.

В России платформой Drupal пользуются госсектор и ряд российских банков, добавили представители Digital Security. Но в компании не смогли уточнить, в каких именно.

По сведениям официального ресурса drupal.org, в России на платформе Drupal основаны сайты Федерального агентства по делам Содружества Независимых Государств, Федеральной службы по контролю за оборотом наркотиков, Федеральной службы по надзору в сфере природопользования и др. За рубежом Drupal также популярна в госсекторе.

Drupal — одна из наиболее популярных CMS-платформ, на основе которой работают миллионы веб-сайтов. Ее развитием и поддержкой занимается открытое сообщество разработчиков. Конкурирующими платформами являются WordPress, Joomla, Bitrix.

Это не первая крупная уязвимость, обнаруженная в Drupal за последние несколько месяцев. В августе 2014 г. специалист из Salesforce.com Нир Гольдшлегер (Nir Goldshlager) обнаружил ошибку, позволяющую легко проводить атаки типа DoS («отказ в обслуживании») на серверы, на которых размещены сайты на Drupal или WordPress. Позже эта ошибка также была устранена.