به تازگی شاهد بودیم که یک آسیب پذیری در سیستم مدیریت محتوای دروپال وصله شد. اخیرا فردی یک کد اثبات مفهومی برای این آسیب پذیری به طور عمومی منتشر کرده و بلافاصله پس از این اتفاق، بهره برداری از این آسیب پذیری در دنیای واقعی آغاز شده است.
در ماه مارس، توسعه دهندگان دروپال به روزرسانی را منتشر کردند تا آسیب پذیری با شناسه ی CVE-2018-7600 را وصله کنند. این آسیب پذیری یک اشکال اجرای کد از راه دور بود که مهاجم با بهرهبرداری موفق از آن میتوانست کنترل وبسایت را بهطور کامل در اختیار بگیرد. این آسیبپذیری دروپال ۶، ۷ و ۸ را تحت تاثیر قرار میداد و بهروزرسانی برای همهی آنها منتشر شد. در حالیکه از دروپال ۶ پشتیبانی نمیشد، به دلیل اهمیت این آسیبپذیری، برای این نسخه نیز وصله آماده و منتشر شد.
این آسیبپذیری Drupalgeddon2 نام داشته و محققان همان موقع هشدار دادند که بهرهبرداری از این آسیبپذیری قریبالوقوع است. شاهد هستیم که دو هفته پس از انتشار بهروزرسانی، برای این آسیبپذیری کد اثبات مفهومی بهطور عمومی منتشر شده است. روز پنجشنبه محققان جزئیات فنی این آسیبپذیری را منتشر کردند.
در توضیحات محققان آمده است: «در حالت کلی رعایت اصول امنیتی در درخواستهای Form API (FAPI) AJAX ناکافی بوده است. در نتیجه مهاجم قادر خواهد بود بار دادهی مخرب را در ساختار فرمهای داخلی تزریق کند. در ادامه، دروپال بدون هیچگونه فرآیند احراز هویت، این بار داده را اجرا خواهد کرد. با بهرهبرداری از این آسیبپذیری، مهاجم خواهد توانست کنترل وبسایت کاربر را در دست بگیرد.»
پس از اینکه محققان جزئیات فنی این آسیبپذیری را منتشر کردند، یک نفر با اهداف آموزشی، کد اثبات مفهومی برای بهرهبرداری از این آسیبپذیری را بر روی گیتهاب منتشر کرد و افراد دیگری نیز تایید کردند که این کد عملیاتی است و به درستی کار میکند. پس از انتشار این کد اثبات مفهومی، شرکتهای امنیتی، آغاز بهرهبرداری از آسیبپذیری Drupalgeddon2 را شناسایی کردند.
در زمان نگارش این متن، شواهدی مبنی بر نفوذ به یک وبسایت با بهرهبرداری از آسیبپذیری CVE-2018-7600 وجود ندارد. به نظر میرسد مهاجمان فعلا در مرحلهی تست وبسایتها و شناسایی موارد آسیبپذیر هستند. در بار دادهای که محققان تست کردند از دستورات سادهای مانند echo، phpinfo، whoami و touch استفاده شده است.
دیوارههای آتش سطح لایهی کاربرد وب میتوانند چنین حملاتی را مسدود کرده و جلوی بهرهبرداری از این آسیبپذیری را بگیرند. نمونهی اولیه از آسیبپذیری Drupalgeddon در اکتبر سال ۲۰۱۴ میلادی افشاء شد. این آسیبپذیری پس از ۷ ساعت از انتشار وصله، مورد بهرهبرداری قرار گرفت و مهاجمان سایبری تا دو سال از این بهرهبرداری استفاده میکردند.