セキュリティウィーク40：CMS Drupalなどの脆弱性

先週、CMS Drupal開発者は2つの重大な脆弱性を一度に閉じました（ ニュース 、 Webサイトの詳細）。 両方の問題は、Drupalバージョン7.xおよび8.xに影響します。 最も深刻な脆弱性は、組み込みの電子メール送信システム（DefaultMailSystem :: mail（））で発見されました。 メッセージを処理するときに、任意のコードを実行できるように使用できます。 この理由は、いつものように、多くの変数の適切な検証の欠如です。



2番目の脆弱性はContextual Linksモジュールで発見されました-コントロールパネルに移動せずにWebページの要素を変更できます。 このような要求の実行中に渡されたパラメーターの検証の欠如も、コードの実行につながる可能性があります。 確かに、最初の脆弱性とは異なり、これは攻撃者が既にサイトを編集する権利を持っている場合にのみ悪用されます。



通常、このようなニュースはダイジェストに含まれません。 しかし、少なくとも1年に1回は、最も人気のあるコンテンツ管理システムを調べ、将来のセキュリティの状況を理解する価値があります。 たとえば、Androidプラットフォームの断片化に似た、CMSバージョンの断片化はありますか？ たとえば、IoTデバイスの業界では、IoTデバイスはまったくないように見えますが、ルーターやカメラのように、セキュリティはそれほど悪いのでしょうか。 見てみましょう。



最初に、どこを見るかを理解する必要があります。 特定のCMSの使用に関する十分に詳細な情報は、 Webテクノロジー調査を提供します 。 リソースの作成者は、インターネット上で最もアクセスの多い1,000万のサイト（Alexaサービスの評価による）を定期的にスキャンし、使用されているコンテンツ管理システムを分析します。 研究の一般的な結果はこのページで見ることができます 、ここにそこからのグラフがあります：









まあ、最初に、サイトの46.1％のCMSに関する情報を取得できませんでした。より正確には、このサービスが確実に識別できるシステムは使用されていません。 CMSが決定されたサイトの中で、議論の余地のないリーダーは、Android CMS市場の一種であるWordpressです。 大幅に遅れている2番目と3番目の場所はJoomlaとDrupalが占めており、Top10には主に、より簡単かつ迅速に必要な人のために、独自のプラットフォームで完成したサイトの作成を提供するサービスがあります。 Joomla、Drupal、およびWordpressは、よく知られたCMSを備えたサイトの68.8％、または調査対象の1,000万件のうちの37.2％にインストールされています。



フラグメンテーションはCMSの選択レベルですでに明らかです。Wordpressは明確なリーダーですが、オンラインリソースの3分の1にのみインストールされており、何らかの理由でサイトの半分が一般的に機能しています。 おそらく、陰鬱な管理者がまだFTP経由で静的HTMLをダウンロードしています。 この多様性から結論を引き出すことは困難です。一方で、断片化は攻撃者の生活を複雑にします。他方では、インターネットの約半分のセキュリティで物事がどのようになっているかを実際に誰も知りません。 暗号化では、自己記述暗号化アルゴリズムは、先鋭化されたレーキと同等に長い間見なされてきました。 Web管理は別のものにすべきですか？



最も人気のある3つのCMSのバージョンの分布を見てみましょう。 これがWordpressの配布です。 w3techsは、最新の情報が期待されるように、レポートを毎日更新しています。









なんとなく退屈です。 現在のバージョン4.xの詳細を見てみましょう。









WordpressのWebサイトの70％以上が（発行日時点で）最新バージョンを使用しています（メインリリースの定期的な更新を除く）。 もちろん、これはAndroidよりも快適なディストリビューションです。Androidでは、現在のバージョン8.xがデバイスの19.2％で使用されていますが、私たちが望むほどではありません。



恐れることはありますか？ Wordpressのバージョンの歴史を見てみましょう。 バージョン4.9は2017年11月15日にリリースされました。つまり、ほぼ1年間、Wordpress 4.8以前のバージョンは廃止されています。 バージョン4.9以降、少なくとも4つのCMSアップデートが脆弱性の修正を目的としています。 それぞれのリスクがどれほど深刻かは、より詳細な調査の対象ですが、過去1年間に絶対に重大なバグはありませんでした。 それでも、7月リリース 4.9.7はこの脆弱性を解決し、特定の条件下でUploadsフォルダー外のファイルを削除できるようにします。



先週の主人公であるCMS Drupalの様子を見てみましょう。









そのようなこと。 Drupal 8.xの最新バージョンは、Drupalを一般的に使用しているサイトの11.8％で使用されています。 最も人気のあるのは、以前の（公平に言えば、サポートされている）リリース7.xです。 W3techは、メインブランチ内の特定のリリースに関する詳細を提供していません。したがって、全員が既に更新されていると仮定します（もちろん、これは大胆な仮定です）。 いずれにしても、Drupalサイトのほぼ10％が、サポートされていないバージョン4.x〜6.xを使用しています。



CMS Joomlaの状況は次のとおりです。









Joomla 3.8.13の最新バージョンが最近リリースされました-10月9日に。 短時間で最新バージョンに更新されたサイトの数を確認できます。









ブランチの全ユーザーの14.1％3.8。 または、すべてのJoomlaユーザーの5.8％が、13日間でサイトを最新バージョンにアップグレードしたユーザーです。 CMSを予定どおりに更新しないと、どのような結果になりますか？ Wordpressの例に戻ります。これは、最も人気があり、最もハッキングされたWebコンテンツ管理システムであるためです。 そのため、（突然）悪意のある活動のためのサイトの実際のハイジャックに関するメッセージの大部分は、メインのWordpressコードではなく、そのプラグインに言及しています。



たとえば、昨年のFlickr Galleryプラグインなど、実際に攻撃されたプラグインに関するニュース 。 2017年12月、Wordpress はさらに3つのプラグインをブロックしました。それらはすべて作成者によって販売され、新しい所有者はそれらにバックドアを実装しました。 開発者によって長い間放棄されてきた、重大な脆弱性があり、今でも何百ものサイトで使用されているプラ​​グインの使用に関する別の分析があります。



そして、プラグインだけではありません。 繰り返しになりますが、ブルートフォースパスワードは、Wordpressサイトを攻撃する有効な方法として言及されています（たとえば、 hereおよびhere ）。 また、この問題はWordpress開発者の能力を超えています。 ブルートフォースを複雑にし、最も単純なパスワードを使用しないことは、開発者ではなく管理者とサイトのユーザーのタスクです。



サイトが正常にハッキングされるとどうなりますか？ 上記では、マイナーのインストールに関するニュースを参照していますが、ほとんどの場合、古典的な悪意のあるスクリプトがサイトに表示されます。 今年の夏、重要なケースが発生しました。7月、CoinDash取引プラットフォームがICOの一環として募金活動中にハッキングされました 。 サイトがどの程度正確にハッキングされたかは報告されていません。必ずしもWordpressの脆弱性とは限りません。 しかし結果は明らかです：サイトの特権的な参加者から資金を集める最初の段階で、彼らは単に資金を移すためのウォレット番号を変更しました。その結果、暗号通貨相当の770万ドルが攻撃者に渡されました。 これについて Redditで興味深い議論があります：重大な場合に静的ページを作成する方が信頼性が高くなりませんか？ ああ、どちらがより信頼できるのかわかりません。



このミニスタディの結果に基づいて、明確な疑問が生じます：重大な脆弱性が常に利用可能でない場合、サイトがプラグインやブルートフォースパスワードを介してハッキングされることが多い場合、CMSコードを更新することが本当に必要ですか？ routersの場合のように、一連の対策は真の利点をもたらします：CMSの更新、インストールされたプラグインのリストの修正、本当に必要なプラグインの定期的な更新、管理URL、強力なパスワード、多要素認証、ユーザー監査だけを変更します。 Webサイトのセキュリティ（およびその他）はプロセスであり、結果ではありません。



ToDoリストにCMSバージョンの定期的なチェックを追加するのはそれほど難しくありません。 サイトがサードパーティの組織によって管理されている場合、定期的に更新プログラムをインストールする問題を個別に議論する必要はありません。 一度「サイトのセットアップ」を行った後、サポートなしで「正常に動作する」場合、問題が発生します。 今日見たように、誰もがウェブサイトのセキュリティをコードの更新として強化するためにそのような単純な手段を使用しているわけではありません。



免責事項：このダイジェストに記載されている意見は、カスペルスキーの公式見解と必ずしも一致しない場合があります。 親愛なる編集者は一般に、意見を健全な懐疑心を持って扱うことを推奨しています。