مهاجمان بهره‌برداری از آسیب‌پذیری Drupalgeddon2 در وب‌سایت‌های دروپال را آغاز کردند

 

به تازگی شاهد بودیم که یک آسیب پذیری در سیستم مدیریت محتوای دروپال وصله شد. اخیرا فردی یک کد اثبات مفهومی برای این آسیب پذیری به طور عمومی منتشر کرده و بلافاصله پس از این اتفاق، بهره برداری از این آسیب پذیری در دنیای واقعی آغاز شده است.


در ماه مارس، توسعه دهندگان دروپال به روزرسانی را منتشر کردند تا آسیب پذیری با شناسه ی  CVE-2018-7600 را وصله کنند. این آسیب پذیری یک اشکال اجرای کد از راه دور بود که مهاجم با بهره‌برداری موفق از آن می‌توانست کنترل وب‌سایت را به‌طور کامل در اختیار بگیرد. این آسیب‌پذیری دروپال ۶، ۷ و ۸ را تحت تاثیر قرار می‌داد و به‌روزرسانی برای همه‌ی آن‌ها منتشر شد. در حالی‌که از دروپال ۶ پشتیبانی نمی‌شد، به دلیل اهمیت این آسیب‌پذیری، برای این نسخه نیز وصله آماده و منتشر شد.


این آسیب‌پذیری Drupalgeddon2 نام داشته و محققان همان موقع هشدار دادند که بهره‌برداری از این آسیب‌پذیری قریب‌الوقوع است. شاهد هستیم که دو هفته پس از انتشار به‌روزرسانی، برای این آسیب‌پذیری کد اثبات مفهومی به‌طور عمومی منتشر شده است. روز پنج‌شنبه محققان جزئیات فنی این آسیب‌پذیری را منتشر کردند.


در توضیحات محققان آمده است: «در حالت کلی رعایت اصول امنیتی در درخواست‌های Form API (FAPI) AJAX ناکافی بوده است. در نتیجه مهاجم قادر خواهد بود بار داده‌ی مخرب را در ساختار فرم‌های داخلی تزریق کند. در ادامه، دروپال بدون هیچ‌گونه فرآیند احراز هویت، این بار داده را اجرا خواهد کرد. با بهره‌برداری از این آسیب‌پذیری، مهاجم خواهد توانست کنترل وب‌سایت کاربر را در دست بگیرد.»


پس از اینکه محققان جزئیات فنی این آسیب‌پذیری را منتشر کردند، یک نفر با اهداف آموزشی، کد اثبات مفهومی برای بهره‌برداری از این آسیب‌پذیری را بر روی گیت‌هاب منتشر کرد و افراد دیگری نیز تایید کردند که این کد عملیاتی است و به درستی کار می‌کند. پس از انتشار این کد اثبات مفهومی، شرکت‌های امنیتی، آغاز بهره‌برداری از آسیب‌پذیری Drupalgeddon2 را شناسایی کردند.


در زمان نگارش این متن، شواهدی مبنی بر نفوذ به یک وب‌سایت با بهره‌برداری از آسیب‌پذیری CVE-2018-7600 وجود ندارد. به نظر می‌رسد مهاجمان فعلا در مرحله‌ی تست وب‌سایت‌ها و شناسایی موارد آسیب‌پذیر هستند. در بار داده‌ای که محققان تست کردند از دستورات ساده‌ای مانند echo، phpinfo، whoami و touch استفاده شده است.


دیواره‌های آتش سطح لایه‌ی کاربرد وب می‌توانند چنین حملاتی را مسدود کرده و جلوی بهره‌برداری از این آسیب‌پذیری را بگیرند. نمونه‌ی اولیه از آسیب‌پذیری Drupalgeddon در اکتبر سال ۲۰۱۴ میلادی افشاء شد. این آسیب‌پذیری پس از ۷ ساعت از انتشار وصله، مورد بهره‌برداری قرار گرفت و مهاجمان سایبری تا دو سال از این بهره‌برداری استفاده می‌کردند.
 

منبع

پست‌های مشابه

Leave a Comment