נחשפה פרצת אבטחה קריטית בדרופל

פרצת אבטחה קריטית נחשפה בדרופל (Drupal), פלטפורמת ניהול התוכן באינטרנט. את הפרצה חשפו אנשי צ'קמרקס (Checkmarx) הישראלית.

דרופל משמשת יותר ממיליון ארגונים גלובליים, ממשלות ומוסדות להשכלה גבוהה ברחבי העולם, בהם גופי ממשל אמריקאים. על לקוחותיה נמנות, בין השאר, נאס"א וטסלה. דרופל היא מערכת לניהול תוכן בקוד פתוח, המשמשת לבנייה של אתרים ואפליקציות ומתוחזקת על ידי קהילת מפתחים. היא נחשבת לאחת משלוש המערכות החינמיות הנפוצות לניהול תוכן, לצד ג'ומלה ו-וורדפרס. היא מספקת לבעלי אתרים ממשק לניהול עצמי של מבנה האתר ותכניו. תכני הליבה של דרופל מאפשרים הקמת בלוג בתוך האתר, אפשור תגובות לדפים ופוסטים, שימוש בקטגוריות ותגיות, הקמת פורומים, תמיכה בשפות נוספות, שילובי תכנים ומצגות ראווה ועוד.

אנשי צ'קמרקס מצאו את החולשה נמצאה בדרופל Core – תוכני הליבה המגיעים עם חבילת ההתקנה. לדברי דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, "תוקף המנצל את החולשה יוכל להשתלט על פעולות האדמין של מנהל האתר או של יוצר התוכן, ובכך לקבל שליטה מלאה ולעשות ככל העולה על רוחו: להוסיף או לשנות תוכן, לשתול לינקים זדוניים, לפגוע בגולשים באמצעות גניבת פרטי אשראי, שמות משתמשים, ניטור וגניבת  סיסמאות ועוד".

תומרקין הוסיף כי "בשלב מאוחר יותר במתקפה, תוקף יוכל גם להשתלט על השרת, ומשם להגיע לבסיס הנתונים, אשר מכיל מידע רגיש".

בצ'קמרקס פנו לדרופל, שם דירגו את הפרצה כחמורה, אישרו שכל הגירסאות הזמינות כרגע פגיעות ותיקנו אותה תוך זמן קצר. דרופל שחררה עדכון לגירסאות האחרונות של התוכנה. משתמשי המערכת בעולם קיבלו התראה על בעיית אבטחה במערכת. כיוון שמדובר באתרים רבים של גופים רגישים, הבלוג הטכני יפורסם רק בעוד חודשיים, על מנת שגם המאחרים לעדכן יספיקו לעשות זאת.