The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новая критическая уязвимость в Drupal, уже используемая для совершения атак

26.04.2018 08:42

Спустя менее месяца с момента исправления прошлой критической проблемы в системе управления контентом Drupal выявлена новая уязвимость (CVE-2018-7602), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса. Проблема затрагивает ветки Drupal 6.x, 7.x и 8.x.

Опасность уязвимости усугубляет наличие в открытом доступе рабочего прототипа эксплоита и выявление фактов использования уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно сформированы обновления Drupal 7.59, 8.4.8 и 8.5.3, а также подготовлен патч (+патчи для ветки 6.x). Новые версии пакетов для дистрибутивов сформированы для Debian и Fedora (исправление пока отсутствует в Ubuntu, FreeBSD, EPEL).

Уязвимость выявлена в процессе анализа возможного альтернативного проявления проблемы CVE-2018-7600, которая была обнаружена в конце марта. Метод эксплуатации CVE-2018-7602 в своей сути аналогичен CVE-2018-7600 и также базируется на некорректной обработке параметров, начинающийся с символа "#", который рассматривается как спецключ для вызова произвольного PHP-обработчика через Render Arrays и Drupal Form API.

В отличие от прошлых эксплоитов, новый метод основан на обходе функций фильтрации спецсимволов путём кодирования символа "#" в форме последовательности "%2523", где "%25" код символа "%", т.е. строка будет декодирована в "%23", а затем "%23" будет обработан как "#" ("%23" код "#"). Например, для запуска утилиты whoami можно отправить запрос:


   POST /?q=node/99/delete&destination=node?q[%2523][]=passthru%26q[%2523type]=markup%26q[%2523markup]=whoami
   ...
   form_id=node_delete_confirm&_triggering_element_name=form_id&form_token=[CSRF-TOKEN]
Затем нужно получить значение form_build_id и инициировать выполнение операции:

   POST /drupal/?q=file/ajax/actions/cancel/%23options/path/[FORM_BUILD_ID] HTTP/1.1
   ...
   form_build_id=[FORM_BUILD_ID]

Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию и подняли уровень опасности проблемы до "Highly critical" (20∕25). Доступный прототип эксплоита требует аутентифицированного доступа с правами удаления узлов, но судя по успешности начатых злоумышленниками атак, метод может быть адаптирован и для других форм.

Тем временем, в сети зафиксирован вариант сетевого червя Muhstik, адаптированный для получения контроля за системами через мартовскую уязвимость в Drupal (кроме Drupal, червь также эксплуатирует неисправленные уязвимости в Webdav, WebLogic, Webuzo и WordPress, а также пытается подбирать пароли по SSH). Несмотря на многочисленные предупреждения о необходимости установки обновления в сети остаётся большое число не обновлённых хостов, чем и пользуется червь. Muhstik используется злоумышленниками для построения ботнета из серверов, который может выполнять такие задачи, как проведение DDoS-атак, сканирование сетей для обнаружения новых уязвимых хостов и майнинг криптовалют XMR и BTC.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Критическая уязвимость в Drupal
  3. OpenNews: Уязвимости в системе управления web-контентом Drupal
  4. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
  5. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  6. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48495-drupal
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:35, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ой, опять фильтрация, лень человеческая в чистом виде.
     
  • 1.2, Аноним (-), 09:41, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белый список.
     
     
  • 2.16, нах (?), 10:51, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белый список.

    никогда. Они когда становятся достаточно взрослыми, уже пилят другие проекты, а не опенсорсие.
    А на их место приходит новое поколение, которое опять вместо транслятора пишет регекс, потому что ничего другого не умеет.

     
  • 2.23, Аноним (-), 12:45, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если вводить белый список то друпал туда не попадёт :(
     

  • 1.4, Аноним (-), 09:47, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ау! В Firefox появится защита от CSRF-атак.
     
     
  • 2.40, Аноним (-), 09:51, 28/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ау! В Firefox появится защита от CSRF-атак.

    забыл добавить "если только её включть".

    таким образом грошь ей цена.

    потомучто CSRFзащиту можно было включить и раньше, например через csrftoken

     

  • 1.6, ыы (?), 09:52, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть такое дело. Есть боты пытающиеся сие эксплуатировать...
     
  • 1.12, MrClon (ok), 10:21, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У моего клиента один сайт на друпале похачили. На VPS несколько десятков полузаброшенных сайтов на WP, но брат жив, похачили только Друпал
     
  • 1.14, Аноним (-), 10:44, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо больше хаков, больше краж, больше вирусни, в общем, больше угара. Иначе это болото никак не проймешь.
     
     
  • 2.34, Аноуецен (?), 20:41, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может просто надо нанять профессионалов и им деньги платить?
    Сейчас разрабав друпол легко понять. Им влом смотреть ваши багрепорты пока сам сайт друпала не ломанут.
     

  • 1.15, Michael Shigorin (ok), 10:45, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Н-да, недаром про 7.x знакомый вздыхал -- мол, попереколбасили.  Надеюсь, TYPO3 не огребёт аналогичными граблями.
     
     
  • 2.21, Аноним (-), 12:26, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тем, кто начинал с 6-й версии Drupal не нравится седьмая. Те, кто пилил седьмую воют на восьмую. И причем тут уязвимости? Мне вот Alt Linux ни под каким соусом не заходит, хотя это был первый дистрибутив Linux, с которым я познакомился. Ну не переношу я его, при всем уважении к труду его разработчиков.
     
  • 2.22, KonstantinB (ok), 12:40, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В шестом тот же принцип с пометкой # колбэков используется, да и вообще с незапамятных времен. Просто нашли частный случай для обхода фильтра, который по стечению обстоятельств не работает в шестерке. Сам подход изначально порочен, это еще долго будет аукаться.
     
     
  • 3.26, нах (?), 14:02, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В шестом тот же принцип с пометкой # колбэков используется, да и
    > вообще с незапамятных времен. Просто нашли частный случай для обхода фильтра,
    > который по стечению обстоятельств не работает в шестерке.

    или просто поленились проверить.

    > Сам подход изначально порочен, это еще долго будет аукаться.

    вечно. Они же ничему так и не научились.

     
  • 3.29, 123 (??), 14:46, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В шестерке что эта, что предыдущая дыра также присутствует. И именно поэтому она есть в 7-ке и 8-ке, так как этот легаси код переносили без особых изменений.
     
  • 2.25, Аноним (-), 13:30, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Надеюсь, TYPO3 не огребёт аналогичными граблями.

    Конечно нет, это же *Enterprise* Content Management System.

     
  • 2.37, ОнанВарвар (?), 10:42, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Drupal 7-ка уже фактически заброшена. Все не желающие переходить на 8-ку пилят Backdrop CMS (форк 7-ки).
    TYPO3 другой уровень, но дырки тоже есть: https://www.cybersecurity-help.cz/vdb/SB2017122505?affChecked=1
    Главное защитить инфраструктуру - поднимать веб-сервер с максимальной изоляцией сервисов.
     
     
  • 3.39, пох (?), 19:56, 27/04/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кого и от чего ты собрался защищать?
    Если вместо вебсервера твоей конторы красуется Чорный Властелин - клиенты говорят "до свидания" и идут к другим, что _еще_ после этого ты собрался защищать?

    Если сервер твоего проекта за пять секунд намертво встревает во все возможные и невозможные блэклисты из-за рассылки спама мегатоннами, и ты не можешь даже выслать клиенту подтвердение регистрации (и он опять удивленно пожимает плечами и идет к конкурентам) - кого и от чего ты еще собрался защищать?

    Если просто тихо майнит не в твою пользу - тогда и защищать нечего и не от кого.

    А если сервер для галочки, а на самом деле ты на рынке носками торгуешь, то опять же нечего и не от кого - никто и не заметит, что его поимели, еще и десять лет спустя.

     

  • 1.24, Аноним (-), 13:05, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Нужен вирус, удаляющий папку сайта или хотя бы устанавливающий патчи
     
     
  • 2.31, Аноним (-), 15:02, 26/04/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ненужен такой вирус, нужен майнер
     

  • 1.27, Sylvia (ok), 14:21, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Drupal 6 тоже уязвим. Патчи тут - https://www.drupal.org/project/d6lts/issues/2965601
     
  • 1.35, Аноним (-), 22:19, 26/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию

    Кодеры такие кодеры.

     
  • 1.38, ОнанВарвар (?), 10:49, 27/04/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Модуль Media (https://www.drupal.org/project/media) тоже уязвим. Исправления уже есть, кроме устаревшей ветки 1.xx.
     
     
  • 2.41, ОнанВарвар (?), 08:17, 29/04/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вышло исправление для старой версии модуля Media 1.6, закрывающее уязвимость.
    https://www.drupal.org/project/media/releases/7.x-1.7
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру