Za Drupal, četvrti po popularnosti CMS (iza WordpPess-a, Shopify-ja i Joomla-e), otkriveno je da je ranjiv i da se na  jednostavan način može dovesti do zaraze i preuzimanja sajta od strane hakera

 

Otkriveno je da je Drupal ranjiv tako što se jednostavnim dodavanjem druge ekstenzije CMS može prevariti i na taj način da se pokrene maliciozni program.

Na primjer ako napadač doda fajlu „malware.php“ još jednu ekstenziju, recimo „malware.php.txt“, Drupal će to prepoznati kao tekstualni fajl, ali će biti omogućeno izvršavanje PHP koda u trenutku kada pokuša da ga pročita.

U normalnim situacijama, lako se detektuju fajlovi sa duplim ekstenzijama, ali se ispostavilo da Drupal ne provjerava određena imena fajlova, čime se otvara prostor za ubacivanje malicioznog koda.

Već je napravljen bezbjednosni update za verzije Drupal 7, 8 i 9, koji rješava ovaj problem.

Međutim developeri upozoravaju admine da provjere nedavne update fajlova sa dvostrukim ekstenzijama. Moguće je da su njihovi sistemi već zaraženi prije nego što je implementiran patch.

Oni su naveli da se posebna pažnja posveti sljedećim ekstenzijama, koje se mogu smatrati opasnim, čak i ako iza njih stoji neka druga ekstenzija:

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

„Ova lista nije konačna, tako da se provjere bezbjednosni problemi za druga nepromijenjena proširenja od slučaja do slučaja,“ rekli su developeri Drupala.

Inače, može se reći da je prilično iznenađujuće da se ovakva greška potkrala developerima koji razvijaju Drupal.

Duple ekstenzije su jedan od najstarijih trikova koje su hakeri koristili i jedan je od glavnih sistema provjere kod CMS-ova, prilikom upload-a fajlova. Čudno je zato da su propustili da obrate pažnju na taj detalj.

To je pitanje glavni problem i za korisnike Windows-a, gdje autori zlonamjernog softvera često distribuiraju datoteke s dvije ekstenzije, kao što je file.png.exe.

Budući da Vindovs podrazumjevano sakriva posljednju ekstenziju datoteke, ekstenzije EXE su skrivene dok se prikazuje samo prva. To navodi korisnike da povjeruju da otvaraju sliku, ali u stvari pokreću izvršnu datoteku koja na kraju instališe malver.

(ZDNet)

 

Dopadaju vam se tekstovi na IT-mixer.com? Podržite nas putem društvenih mreža na linkovima ispod. Lajkujte našu stranicu na Facebooku, budite informisani u svakom momentu.