בסוף אוקטובר הודיע ארגון DRUPAL הודעה דרמטית, המתייחסת לכ-264 אלף אתרי אינטרנט אשר משתמשים בתוכנת הקוד הפתוח המופצת ע"י הארגון...
ואשר משמשת לניהול תוכן של אתרי אינטרנט. בהודעתו הזהיר הארגון כי יש חשש רציני שאתרים אלו נפרצו, ועל כן יש להורידם באופן מיידי מן הרשת.
האירוע החל ב-15/10/14, עם הודעת הארגון (אשר מפיץ את תוכנת DRUPAL כ-Open Source) על כך שנמצאה פירצה קריטית בגירסה 7 של המוצר.
בהודעה נמסר כי כי פורץ אשר ינצל פירצה זו ויבצע מתקפת SQL Injection על אתר העושה שימוש בתוכנה בגרסה זו, יצליח לקרוא מידע מסווג ולבצע כל פעולה על השרת.
על כן המליץ הארגון למשתמשי המוצר בגירסה 7 לבצע עדכון מיידי לגירסת 7.32, אשר מכילה טלאי אבטחה (patch) אשר מיועד לסגור פירצה זו.
מכאן והלאה, התגלגלו העניינים במהירות, אם כי לא בכיוון הרצוי.
תוך 8 שעות מרגע פרסום הידיעה על-ידי DRUPAL, החלו קבוצות של האקרים להתקיף אתרים המשתמשים ב-DRUPAL בכדי לנצל את הפירצה; האקרים אשר הצליחו למצוא אתר בלתי מוגן (בלתי מעודכן) פרצו לתוכו, פתחו
עליו back-door לשימוש עצמי עתידי, ובחלק מהמקרים אף התקינו את ה-patch על האתר, כדי למנוע מפורצים אחרים לקחת מהם את השלל...
כאשר התבררה חומרת המצב, הוציא הארגון הודעה נוספת, בה נאמר שכל מפעיל אתר המשתמש במוצר DRUPAL בגירסה 7, ואשר לא ביצע upgrade לגירסת התיקון 7.32 תוך 7 שעות מפרסום הידיעה הראשונה ב-15/10/14 צריך לקחת בחשבון שהאתר שלו כבר נפרץ, ושעליו לבצע העלאה של האתר מגיבוי שבוצא לפני ה-15/10/14 - ולבצע זאת על שרת חדש לגמרי.
למעשה, אם מסתבר למפעיל האתר שמישהו אחר כבר ביצע upgrade לגירסת התיקון על האתר שלו ללא ידיעתו, הרי ששדרוג זה לכשעצמו מספק ראיה לכך שהאתר כבר נפרץ...
סוגיה חמורה נוספת הינה, שהתקנת גירסת התיקון לאחר שהאתר כבר נפרץ אינה עוזרת כלל וכלל, משום שגירסת התיקון יכולה רק למנוע פריצה חדשה ואין היא יכולה לזהות אם האתר כבר נפרץ.
כדי לנסות ולמנוע הישנות של תקיפה מעין זו, ממליצים מומחי אבטחת-מידע לבצע הקשחה של השרתים, לבצע גיבויים באופן קבוע, לוודא שקיימת תוכנית מסודרת להתקנת patches תוך פרק זמן סביר, וכמו כן להתקין WAF – Web Application Firewall - אשר מטרתו לזהות מתקפות מסוג זה ולנטרלן.
חברתנו מבצעת באופן שוטף בדיקות אפליקטיביות רבות ומגווונות לאתרי אינטרנט. במבדקים אלו מבוצעות מתקפות אפליקטיביות רבות ובתצורות בדיקה שונות – Black Box, Gray Box ועוד, וזאת תוך שילוב של מתקפות אנושיות/לוגיות המבוצעות ע"י מומחי האבטחה האפליקטיביים של החברה, עם הרצות של כלי תקיפה ובדיקה מובילים ושונים.
לידיעה המלאה - כאן