تنها پس از گذشت چند ساعت از انتشار آخرین به روزرسانی امنیتی دروپال که یک آسیب پذیری جدید اجرای کد از راه دور را وصله می کرد، مهاجمان بهره برداری از آن را در دنیای واقعی آغاز کردند. دیروز آسیب پذیری جدیدی با شناسه ی CVE-2018-7602 اطلاع رسانی شد که دروپال ۷ و ۸ را تحت تاثیر قرار می داد.
مهاجم از راه دور میتواند از این آسیبپذیری جدید بهرهبرداری کرده و مانند آسیبپذیری Drupalgeddon2 کنترل کامل وبسایت مورد نظر را در دست بگیرد. هرچند گروه دروپال برای جلوگیری از بهرهبرداری، جزئیات فنی این آسیبپذیری را منتشر نکردند ولی دو نفوذگر جزئیاتی را ارائه کرده و تنها با گذشت چند ساعت، یک کد اثبات مفهومی نیز منتشر کردند.
اگر در چند وقت اخیرا خبرهای امنیتی را دنبال کرده باشید، در جریان هستید که چگونه پس از انتشار کد اثبات مفهومی برای آسیبپذیری Drupalgeddon2، نفوذگران بلافاصله بهرهبرداری از آن را آغاز کردند و به توزیع بدافزارهای استخراج ارز دیجیتال، درب پشتی و سایر بدافزارها بر روی وبسایتها پرداختند. گروه دروپال هشدار داده که آسیبپذیری جدیدبا نام Drupalgeddon3 بهطور فعال در دنیای واقعی در حال بهرهبرداری است.
در این گزارش میخواهیم در مورد برخی جزئیات این آسیبپذیری جدید صحبت کرده و نحوهی بهرهبرداری از آن را بررسی کنیم. بهرهبرداری از آسیبپذیری Drupalgeddon3 مشابه بهرهبرداری از Drupalgeddon2 است تنها تفاوتی که وجود دارد این است که برای آغاز اجرای کدهای مخرب از بار دادهی متفاوتی استفاده میکند. این آسیبپذیری به این دلیل وجود دارد که در Form API ورودیها بهطور درستی اعتبارسنجی نمیشوند.
یک کاربر با شناسهی @_dreadlocked در توییتر توضیح میدهد که با استفاده از پارامتر GET مقصد در یک URL زمانیکه یک کاربر ثبتنامشده میخواهد درخواستی برای حذف یک گره ارسال کند، میتوان از این آسیبپذیری بهرهبرداری کرد. یک گره میتواند بخشی از محتوا مانند پست، انجمن، مقاله و یا یک صفحه باشد.
به دلیل اینکه پارامتر پرسوجوی GET مقصد در داخل پارامتر GET خود میتواند یک URL را دریافت کند که مقدار آن نیز مقداردهی اولیه و بررسی نشده است، این مسأله به یک مهاجم احراز هویتنشده اجازه میدهد تا بتواند کدهای مخرب خود را اجرا کند. این مقادیر به تابع stripDangerousValues() داده میشود که نویسهی # را فیلتر میکند و میتواند برای کدگذاری # به صورت %۲۵۲۳ مورد بهرهبرداری قرار بگیرد.
تابع مقدار %۲۵۲۳ را به %۲۳, کدگشایی میکند که معادل کدگذاریشدهی نویسهی # است و که برای پردازش کدهای دلخواه در سیستم مانند دستور whoami مورد استفاده قرار خواهد گرفت. به همهی مدیران وبسایتهای دروپال توصیه میکنیم هرچه سریعتر، وبسایتهای خود را به آخرین نسخه از این نرمافزار بهروزرسانی کنند.