להשתלט על ויקיפדיה מרחוק: צ’ק פוינט איתרה חולשה ב-MediaWiki

חולשה שהתגלתה בפלטפורמת MediaWiki חשפה את אתרי קרן ויקימדיה וביניהם גם אתר ויקיפדיה להשתלטות מרחוק על ידי האקרים.

מקור: יח"צ

מקור: יח”צ

חולשה קריטית שהתגלתה בתוכנת MediaWiki, העומדת מאחורי אתרים שונים של קרן ויקימדיה, הכוללים בין היתר גם את אתר ויקיפדיה עצמו, הייתה עלולה לסכן מיליוני משתמשים ברחבי העולם. למזלם של המשתמשים ושל החברה, החולשה התגלתה בזמן על ידי חברת האבטחה הישראלית, צ’ק פוינט.

לשלוט על ערכי ויקיפדיה

במסגרת בדיקות שגרתיות אותן מבצעת חברת האבטחה, במטרה להגן על משתמשי הרשת, גילתה צ׳ק פויינט כי בגרסאות MediaWiki 1.8 ומעלה קיימת חולשה המסכנת את כלל האתרים המשתמשים בפלטפורמה. בעוד שמדובר בתוכנה שנכתבה במקור עבור ויקיפדיה ומיזמי קרן ויקימדיה, היא מצויה כיום בשימוש נפוץ בקרב אתרים רבים, שכן מבוססת קוד פתוח וזמינה להורדה בחינם.

למעשה, התוכנה נמצאת בשימוש רחב על ידי חברות מסחריות, כגון אינטל, כמו גם על ידי גופים מדיניים הכוללים את גוף קהילת המודיעין האמריקאי, מחלקת המדינה של ארצות הברית וגופים נוספים. החברות הללו בחרו להטמיע את ה-Wiki שלהן באמצעות הפלטפורמה, דווקא מכיוון שמוטמעת בויקיפדיה וכתוצאה מכך צפויה להבדק ביסודיות.

החולשה המדוברת השאירה את האתרים המריצים את התוכנה חשופים ל-Remote Code Execution, פעולה שבה לתוקפים יש יכולת להפעיל פקודות על השרת, באמצעות ניצול החולשה המדוברת. במידה והחולשה הייתה מתגלה על ידי הגורמים הלא נכונים, התוקפים היו יכולים לקבל שליטה על שרת ויקימדיה, כמו גם על כלל האתרים הרצים על הפלטפורמה המדוברת.

בפועל, התוקפים היו יכולים להוסיף נוזקות לדפים השונים באתרים הללו, ובכך למעשה להדביק ולפגוע גם במשתמשים שנכנסו אל האתרים הללו במטרה לקבל מידע. מדובר בחולשה רצינית, במיוחד בהתחשב בעובדה שויקיפדיה הוא האתר ה-6 הפופולארי ביותר ברחבי העולם על פי מדד אלקסה, עם למעלה מ-94 מיליון משתמשים ייחודיים מידי חודש ויותר מ-2 מיליון אתרים המקשרים אליו.

במידה והתוקפים היו מוצאים את הפרצה ומדביקים עמוד פופולארי אחד בלבד באתר, אין ספק שהיו יכולים להשפיע על מיליוני משתמשים, בכל רחבי העולם, וככל הנראה לקבל גישה לסוגים שונים של מידע ממנו רק היו צריכים לבחור.

ההודעה הרשמית מטעם שתי החברות יצאה לאחר שהחולשה זוהתה ותוקנה, כפי שדווח על ידי MediaWiki עצמה בהודעה רשמית שיצאה לפני כיומיים, ב-28 בינואר. חברת האבטחה מבהירה כי מדובר בסך הכל החולשה השלישית המתגלה בפלטפורמה מאז 2006, כך שהמשתמשים יכולים להיות רגועים – כל עוד יזכרו לעדכן את הגרסה הרצה על אתריהם.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל