The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.04.2018 08:42  Новая критическая уязвимость в Drupal, уже используемая для совершения атак

Спустя менее месяца с момента исправления прошлой критической проблемы в системе управления контентом Drupal выявлена новая уязвимость (CVE-2018-7602), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса. Проблема затрагивает ветки Drupal 6.x, 7.x и 8.x.

Опасность уязвимости усугубляет наличие в открытом доступе рабочего прототипа эксплоита и выявление фактов использования уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно сформированы обновления Drupal 7.59, 8.4.8 и 8.5.3, а также подготовлен патч (+патчи для ветки 6.x). Новые версии пакетов для дистрибутивов сформированы для Debian и Fedora (исправление пока отсутствует в Ubuntu, FreeBSD, EPEL).

Уязвимость выявлена в процессе анализа возможного альтернативного проявления проблемы CVE-2018-7600, которая была обнаружена в конце марта. Метод эксплуатации CVE-2018-7602 в своей сути аналогичен CVE-2018-7600 и также базируется на некорректной обработке параметров, начинающийся с символа "#", который рассматривается как спецключ для вызова произвольного PHP-обработчика через Render Arrays и Drupal Form API.

В отличие от прошлых эксплоитов, новый метод основан на обходе функций фильтрации спецсимволов путём кодирования символа "#" в форме последовательности "%2523", где "%25" код символа "%", т.е. строка будет декодирована в "%23", а затем "%23" будет обработан как "#" ("%23" код "#"). Например, для запуска утилиты whoami можно отправить запрос:


   POST /?q=node/99/delete&destination=node?q[%2523][]=passthru%26q[%2523type]=markup%26q[%2523markup]=whoami
   ...
   form_id=node_delete_confirm&_triggering_element_name=form_id&form_token=[CSRF-TOKEN]
Затем нужно получить значение form_build_id и инициировать выполнение операции:

   POST /drupal/?q=file/ajax/actions/cancel/%23options/path/[FORM_BUILD_ID] HTTP/1.1
   ...
   form_build_id=[FORM_BUILD_ID]

Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию и подняли уровень опасности проблемы до "Highly critical" (20∕25). Доступный прототип эксплоита требует аутентифицированного доступа с правами удаления узлов, но судя по успешности начатых злоумышленниками атак, метод может быть адаптирован и для других форм.

Тем временем, в сети зафиксирован вариант сетевого червя Muhstik, адаптированный для получения контроля за системами через мартовскую уязвимость в Drupal (кроме Drupal, червь также эксплуатирует неисправленные уязвимости в Webdav, WebLogic, Webuzo и WordPress, а также пытается подбирать пароли по SSH). Несмотря на многочисленные предупреждения о необходимости установки обновления в сети остаётся большое число не обновлённых хостов, чем и пользуется червь. Muhstik используется злоумышленниками для построения ботнета из серверов, который может выполнять такие задачи, как проведение DDoS-атак, сканирование сетей для обнаружения новых уязвимых хостов и майнинг криптовалют XMR и BTC.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Критическая уязвимость в Drupal
  3. OpenNews: Уязвимости в системе управления web-контентом Drupal
  4. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
  5. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  6. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 09:35, 26/04/2018 [ответить] [смотреть все]    [к модератору]
  • +4 +/
    Ой, опять фильтрация, лень человеческая в чистом виде.
     
  • 1.2, Аноним, 09:41, 26/04/2018 [ответить] [смотреть все]     [к модератору]
  • +/
    Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белы... весь текст скрыт [показать]
     
     
  • 2.16, нах, 10:51, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    никогда Они когда становятся достаточно взрослыми, уже пилят другие проекты, а ... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, Аноним, 12:45, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +5 +/
    Если вводить белый список то друпал туда не попадёт :(
     
  • 1.4, Аноним, 09:47, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Ау! В Firefox появится защита от CSRF-атак.
     
     
  • 2.40, Аноним, 09:51, 28/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    забыл добавить если только её включть таким образом грошь ей цена потомучто ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, ыы, 09:52, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Есть такое дело. Есть боты пытающиеся сие эксплуатировать...
     
  • 1.12, MrClon, 10:21, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    У моего клиента один сайт на друпале похачили. На VPS несколько десятков полузаброшенных сайтов на WP, но брат жив, похачили только Друпал
     
  • 1.14, Аноним, 10:44, 26/04/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Надо больше хаков, больше краж, больше вирусни, в общем, больше угара Иначе это... весь текст скрыт [показать]
     
     
  • 2.34, Аноуецен, 20:41, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Может просто надо нанять профессионалов и им деньги платить Сейчас разрабав дру... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Michael Shigorin, 10:45, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Н-да, недаром про 7.x знакомый вздыхал -- мол, попереколбасили.  Надеюсь, TYPO3 не огребёт аналогичными граблями.
     
     
  • 2.21, Аноним, 12:26, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Тем, кто начинал с 6-й версии Drupal не нравится седьмая Те, кто пилил седьмую ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, KonstantinB, 12:40, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    В шестом тот же принцип с пометкой колбэков используется, да и вообще с незапа... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, нах, 14:02, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    или просто поленились проверить вечно Они же ничему так и не научились ... весь текст скрыт [показать]
     
  • 3.29, 123, 14:46, 26/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В шестерке что эта, что предыдущая дыра также присутствует И именно поэтому она... весь текст скрыт [показать]
     
  • 2.25, Аноним, 13:30, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Конечно нет, это же Enterprise Content Management System ... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, ОнанВарвар, 10:42, 27/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Drupal 7-ка уже фактически заброшена Все не желающие переходить на 8-ку пилят B... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.39, пох, 19:56, 27/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    кого и от чего ты собрался защищать Если вместо вебсервера твоей конторы красу... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.24, Аноним, 13:05, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Нужен вирус, удаляющий папку сайта или хотя бы устанавливающий патчи
     
     
  • 2.31, Аноним, 15:02, 26/04/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    ненужен такой вирус, нужен майнер
     
  • 1.27, Sylvia, 14:21, 26/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Drupal 6 тоже уязвим. Патчи тут - https://www.drupal.org/project/d6lts/issues/2965601
     
  • 1.35, Аноним, 22:19, 26/04/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Кодеры такие кодеры ... весь текст скрыт [показать]
     
  • 1.38, ОнанВарвар, 10:49, 27/04/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Модуль Media (https://www.drupal.org/project/media) тоже уязвим. Исправления уже есть, кроме устаревшей ветки 1.xx.
     
     
  • 2.41, ОнанВарвар, 08:17, 29/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Вышло исправление для старой версии модуля Media 1 6, закрывающее уязвимость ht... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor