צ'קמרקס הישראלית חושפת פרצת אבטחה קריטית בפלטפורמת Drupal המשמשת ארגונים רבים בעולם

tech web

חברת צ'קמרקס (Checkmarx) הישראלית חושפת פרצת אבטחה קריטית בדרופל (Drupal), אחת מן הפלטפורמות המובילות לניהול תוכן באינטרנט. פלטפורמת דרופל משמשת יותר ממיליון ארגונים גלובליים, ממשלות ומוסדות להשכלה גבוהה ברחבי העולם, בהם גופי ממשל אמריקאים וגופים בפרופיל גבוה כגון: נאס"א וטסלה.

דור תומרקין, חוקר בכיר וראש צוות מחקר בצ'קמרקס, מסביר כי החולשה נמצאה בדרופל Core, תכני הליבה המגיעים עם חבילת ההתקנה. תוקף המנצל את החולשה יוכל להשתלט על פעולות האדמין של מנהל האתר או של יוצר התוכן, ולמעשה לקבל שליטה מלאה ולעשות ככל העולה על רוחו: להוסיף או לשנות תוכן, לשתול לינקים זדוניים, לפגוע בגולשים באמצעות גניבת פרטי אשראי, שמות משתמשים, ניטור וגנבת סיסמאות ועוד. בשלב מאוחר יותר במתקפה, תוקף יוכל גם להשתלט על השרת, ומשם להגיע לדאטה בייס המכיל מידע רגיש.

בצ'קמרקס פנו לדרופל, שם דירגו את הפרצה כחמורה, אישרו שכל הגרסאות הזמינות כרגע פגיעות, ותיקנו אותה תוך זמן קצר. הם שחררו עדכון לגרסאות האחרונות של דרופל ומשתמשי המערכת מסביב לעולם קיבלו התראה על בעיית אבטחה במערכת. כיוון שמדובר באתרים רבים של גופים רגישים, הבלוג הטכני יפורסם רק בעוד חודשיים, על מנת שגם המאחרים לעדכן יספיקו לעשות זאת.

מאחר ופרצת האבטחה אותרה ע"י צוות המחקר של צ'קמרקס, לקוחות החברה המשתמשים ב-CxSCA, פתרון המיועד להזהיר מפני בעיות בקוד פתוח, קיבלו התראה על קיום חולשה מייד עם הימצאה.

דרופל היא מערכת לניהול תוכן בקוד פתוח המשמשת לבנייה של אתרים ואפליקציות ומתוחזקת על-ידי קהילת מפתחים. היא נחשבת לאחת משלוש המערכות החינמיות הנפוצות לניהול תוכן, לצד ג'ומלה ו-וורדפרס. היא מספקת לבעלי אתרים ממשק לניהול עצמי של מבנה האתר ותכניו. תכני הליבה של דרופל מאפשרים הקמת בלוג בתוך האתר, אפשור תגובות לדפים ופוסטים, שימוש בקטגוריות ותגיות, הקמת פורומים, רב-לשוניות (תמיכה בשפות נוספות), שילובי תכנים ומצגות ראווה ועוד.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן