کد اثبات مفهومی برای آسیب‌پذیری Drupalgeddon3 منتشر شد!

کد اثبات مفهومی برای آسیب‌پذیری Drupalgeddon3 منتشر شد!

جمعه, ۷ اردیبهشت, ۱۳۹۷ ساعت ۱۶:۳۱

 

تنها پس از گذشت چند ساعت از انتشار آخرین به روزرسانی امنیتی دروپال که یک آسیب پذیری جدید اجرای کد از راه دور را وصله می کرد، مهاجمان بهره برداری از آن را در دنیای واقعی آغاز کردند. دیروز آسیب پذیری جدیدی با شناسه ی CVE-2018-7602 اطلاع رسانی شد که دروپال ۷ و ۸ را تحت تاثیر قرار می داد.


مهاجم از راه دور می‌تواند از این آسیب‌پذیری جدید بهره‌برداری کرده و مانند آسیب‌پذیری Drupalgeddon2 کنترل کامل وب‌سایت مورد نظر را در دست بگیرد. هرچند گروه دروپال برای جلوگیری از بهره‌برداری، جزئیات فنی این آسیب‌پذیری را منتشر نکردند ولی دو نفوذگر جزئیاتی را ارائه کرده و تنها با گذشت چند ساعت، یک کد اثبات مفهومی نیز منتشر کردند.


اگر در چند وقت اخیرا خبرهای امنیتی را دنبال کرده باشید، در جریان هستید که چگونه پس از انتشار کد اثبات مفهومی برای آسیب‌پذیری Drupalgeddon2، نفوذگران بلافاصله بهره‌برداری از آن را آغاز کردند و به توزیع بدافزارهای استخراج ارز دیجیتال، درب پشتی و سایر بدافزارها بر روی وب‌سایت‌ها پرداختند. گروه دروپال هشدار داده که آسیب‌پذیری جدیدبا نام Drupalgeddon3 به‌طور فعال در دنیای واقعی در حال بهره‌برداری است.


در این گزارش می‌خواهیم در مورد برخی جزئیات این آسیب‌پذیری جدید صحبت کرده و نحوه‌ی بهره‌برداری از آن را بررسی کنیم. بهره‌برداری از آسیب‌پذیری Drupalgeddon3 مشابه بهره‌برداری از Drupalgeddon2 است تنها تفاوتی که وجود دارد این است که برای آغاز اجرای کدهای مخرب از بار داده‌ی متفاوتی استفاده می‌کند. این آسیب‌پذیری به این دلیل وجود دارد که در Form API ورودی‌ها به‌طور درستی اعتبارسنجی نمی‌شوند.


یک کاربر با شناسه‌ی @_dreadlocked در توییتر توضیح می‌دهد که با استفاده از پارامتر GET مقصد در یک URL زمانی‌که یک کاربر ثبت‌نام‌شده می‌خواهد درخواستی برای حذف یک گره ارسال کند، می‌توان از این آسیب‌پذیری بهره‌برداری کرد. یک گره می‌تواند بخشی از محتوا مانند پست، انجمن، مقاله و یا یک صفحه باشد. 


به دلیل اینکه پارامتر پرس‌وجوی GET مقصد در داخل پارامتر GET خود می‌تواند یک URL را دریافت کند که مقدار آن نیز مقداردهی اولیه و بررسی نشده است، این مسأله به یک مهاجم احراز هویت‌نشده اجازه می‌دهد تا بتواند کدهای مخرب خود را اجرا کند. این مقادیر به تابع stripDangerousValues() داده می‌شود که نویسه‌ی # را فیلتر می‌کند و می‌تواند برای کدگذاری # به صورت %۲۵۲۳ مورد بهره‌برداری قرار بگیرد. 


تابع مقدار %۲۵۲۳ را به %۲۳, کدگشایی می‌کند که معادل کدگذاری‌شده‌ی نویسه‌ی # است و که برای پردازش کدهای دلخواه در سیستم مانند دستور whoami مورد استفاده قرار خواهد گرفت. به همه‌ی مدیران وب‌سایت‌های دروپال توصیه می‌کنیم هرچه سریع‌تر، وب‌سایت‌های خود را به آخرین نسخه از این نرم‌افزار به‌روزرسانی کنند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پنج × سه =