The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.04.2018 08:42  Новая критическая уязвимость в Drupal, уже используемая для совершения атак

Спустя менее месяца с момента исправления прошлой критической проблемы в системе управления контентом Drupal выявлена новая уязвимость (CVE-2018-7602), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса. Проблема затрагивает ветки Drupal 6.x, 7.x и 8.x.

Опасность уязвимости усугубляет наличие в открытом доступе рабочего прототипа эксплоита и выявление фактов использования уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно сформированы обновления Drupal 7.59, 8.4.8 и 8.5.3, а также подготовлен патч (+патчи для ветки 6.x). Новые версии пакетов для дистрибутивов сформированы для Debian и Fedora (исправление пока отсутствует в Ubuntu, FreeBSD, EPEL).

Уязвимость выявлена в процессе анализа возможного альтернативного проявления проблемы CVE-2018-7600, которая была обнаружена в конце марта. Метод эксплуатации CVE-2018-7602 в своей сути аналогичен CVE-2018-7600 и также базируется на некорректной обработке параметров, начинающийся с символа "#", который рассматривается как спецключ для вызова произвольного PHP-обработчика через Render Arrays и Drupal Form API.

В отличие от прошлых эксплоитов, новый метод основан на обходе функций фильтрации спецсимволов путём кодирования символа "#" в форме последовательности "%2523", где "%25" код символа "%", т.е. строка будет декодирована в "%23", а затем "%23" будет обработан как "#" ("%23" код "#"). Например, для запуска утилиты whoami можно отправить запрос:


   POST /?q=node/99/delete&destination=node?q[%2523][]=passthru%26q[%2523type]=markup%26q[%2523markup]=whoami
   ...
   form_id=node_delete_confirm&_triggering_element_name=form_id&form_token=[CSRF-TOKEN]
Затем нужно получить значение form_build_id и инициировать выполнение операции:

   POST /drupal/?q=file/ajax/actions/cancel/%23options/path/[FORM_BUILD_ID] HTTP/1.1
   ...
   form_build_id=[FORM_BUILD_ID]

Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию и подняли уровень опасности проблемы до "Highly critical" (20∕25). Доступный прототип эксплоита требует аутентифицированного доступа с правами удаления узлов, но судя по успешности начатых злоумышленниками атак, метод может быть адаптирован и для других форм.

Тем временем, в сети зафиксирован вариант сетевого червя Muhstik, адаптированный для получения контроля за системами через мартовскую уязвимость в Drupal (кроме Drupal, червь также эксплуатирует неисправленные уязвимости в Webdav, WebLogic, Webuzo и WordPress, а также пытается подбирать пароли по SSH). Несмотря на многочисленные предупреждения о необходимости установки обновления в сети остаётся большое число не обновлённых хостов, чем и пользуется червь. Muhstik используется злоумышленниками для построения ботнета из серверов, который может выполнять такие задачи, как проведение DDoS-атак, сканирование сетей для обнаружения новых уязвимых хостов и майнинг криптовалют XMR и BTC.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Критическая уязвимость в Drupal
  3. OpenNews: Уязвимости в системе управления web-контентом Drupal
  4. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
  5. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  6. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:35, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    Ой, опять фильтрация, лень человеческая в чистом виде.
     
  • 1.2, Аноним (-), 09:41, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белый список.
     
     
  • 2.16, нах (?), 10:51, 26/04/2018 [^] [ответить]     [к модератору]
  • +1 +/
    никогда Они когда становятся достаточно взрослыми, уже пилят другие проекты, а ... весь текст скрыт [показать]
     
  • 2.23, Аноним (-), 12:45, 26/04/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Если вводить белый список то друпал туда не попадёт :(
     
  • 1.4, Аноним (-), 09:47, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Ау! В Firefox появится защита от CSRF-атак.
     
     
  • 2.40, Аноним (-), 09:51, 28/04/2018 [^] [ответить]     [к модератору]  
  • +/
    забыл добавить если только её включть таким образом грошь ей цена потомучто ... весь текст скрыт [показать]
     
  • 1.6, ыы (?), 09:52, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Есть такое дело. Есть боты пытающиеся сие эксплуатировать...
     
  • 1.12, MrClon (ok), 10:21, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У моего клиента один сайт на друпале похачили. На VPS несколько десятков полузаброшенных сайтов на WP, но брат жив, похачили только Друпал
     
  • 1.14, Аноним (-), 10:44, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Надо больше хаков, больше краж, больше вирусни, в общем, больше угара. Иначе это болото никак не проймешь.
     
     
  • 2.34, Аноуецен (?), 20:41, 26/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Может просто надо нанять профессионалов и им деньги платить?
    Сейчас разрабав друпол легко понять. Им влом смотреть ваши багрепорты пока сам сайт друпала не ломанут.
     
  • 1.15, Michael Shigorin (ok), 10:45, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Н-да, недаром про 7.x знакомый вздыхал -- мол, попереколбасили.  Надеюсь, TYPO3 не огребёт аналогичными граблями.
     
     
  • 2.21, Аноним (-), 12:26, 26/04/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Тем, кто начинал с 6-й версии Drupal не нравится седьмая Те, кто пилил седьмую ... весь текст скрыт [показать]
     
  • 2.22, KonstantinB (ok), 12:40, 26/04/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    В шестом тот же принцип с пометкой колбэков используется, да и вообще с незапа... весь текст скрыт [показать]
     
     
  • 3.26, нах (?), 14:02, 26/04/2018 [^] [ответить]     [к модератору]  
  • +/
    или просто поленились проверить вечно Они же ничему так и не научились ... весь текст скрыт [показать]
     
  • 3.29, 123 (??), 14:46, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    В шестерке что эта, что предыдущая дыра также присутствует. И именно поэтому она есть в 7-ке и 8-ке, так как этот легаси код переносили без особых изменений.
     
  • 2.25, Аноним (-), 13:30, 26/04/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Надеюсь, TYPO3 не огребёт аналогичными граблями.

    Конечно нет, это же *Enterprise* Content Management System.

     
  • 2.37, ОнанВарвар (?), 10:42, 27/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Drupal 7-ка уже фактически заброшена Все не желающие переходить на 8-ку пилят B... весь текст скрыт [показать]
     
     
  • 3.39, пох (?), 19:56, 27/04/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    кого и от чего ты собрался защищать Если вместо вебсервера твоей конторы красу... весь текст скрыт [показать]
     
  • 1.24, Аноним (-), 13:05, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Нужен вирус, удаляющий папку сайта или хотя бы устанавливающий патчи
     
     
  • 2.31, Аноним (-), 15:02, 26/04/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    ненужен такой вирус, нужен майнер
     
  • 1.27, Sylvia (ok), 14:21, 26/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Drupal 6 тоже уязвим. Патчи тут - https://www.drupal.org/project/d6lts/issues/2965601
     
  • 1.35, Аноним (-), 22:19, 26/04/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Кодеры такие кодеры ... весь текст скрыт [показать]
     
  • 1.38, ОнанВарвар (?), 10:49, 27/04/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Модуль Media (https://www.drupal.org/project/media) тоже уязвим. Исправления уже есть, кроме устаревшей ветки 1.xx.
     
     
  • 2.41, ОнанВарвар (?), 08:17, 29/04/2018 [^] [ответить]    [к модератору]  
  • +/
    Вышло исправление для старой версии модуля Media 1.6, закрывающее уязвимость.
    https://www.drupal.org/project/media/releases/7.x-1.7
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor