Drupalgeddon fortsætter med endnu en fjernkørsel af programkode fejl er blevet opdaget i content management system. Identificeret som CVE-2018-7602, den meget kritiske svaghed påvirker Drupal versioner 7.x og 8.x. Berørte brugere bør straks opgradere til Drupal v7.59 og 8.5.3. Fejlen er aktivt udnyttes i naturen, Drupal holdet sagde, så du skal ikke spilde tid og plaster.
Officiel beskrivelse af CVE-2018-7602
En fjernkørsel sårbarhed findes inden flere delsystemer i Drupal 7.x og 8.x, Drupal sikkerhed holdet for nylig annonceret. Dette gør det muligt for angribere at udnytte flere angrebsvektorer på et websted, der kører på Drupal, hvilket kan resultere i stedet bliver kompromitteret på forskellige måder. Bemærk, at CVE-2018-7602 er relateret til Drupal kerne – Meget kritisk – Fjernbetjening af kode – SA-CORE-2018-002.
Både SA-CORE-2018-002 og denne sårbarhed udnyttes i naturen, Drupal sagde. Desuden, hvis admins har problemer om opdatering, de bør fortsætte med at anvende standalone patches. Men, før man går videre admins nødt til at anvende rettelsen fra SA-CORE-2018-002 fra marts 28, 2018. Websites uden denne patch muligvis allerede kompromitteret.
Drupal Sårbarheder CVE-2018-7602 og CVE-2018-7600
Tidligere i denne måned, en anden meget kritisk Drupal fejl blev opdaget – CVE-2018-7600, der er meget lig CVE-2018-7602.
CVE-2018-7600 er også en fjernkørsel sårbarhed eksisterende indenfor flere delsystemer i Drupal 7.x og 8.x. Fejlen muligt for hackere at udnytte flere angrebsvektorer på en Drupal website. Mere specifikt, den meget kritiske fejl kan forårsage alvorlig skade på en hjemmeside, som kunne blive hacket via fjernkørsel af programkode på grund af et manglende input validering.
Denne fejl blev hurtigt rettet, men det tog ikke lang tid for angribere at udvikle en udnytte efter fastsat for det var blevet frigivet.
"Steder ikke lappet af onsdag, 2018-04-11 kan være kompromitteret. Dette er den dato, hvor beviser dukket af automatiserede angreb forsøg. Det er muligt målrettede angreb fandt sted før dette,”Som anført af Drupal sikkerhedsteam.
Hvordan har det problem dukke?
Ifølge SANS ISC CTO Johannes Ullrich, med opdateringen i marts, Drupal tilsat en global sanitet funktion. Denne tilgang er ofte vanskeligt at gennemføre en korrekt, han sagde i en gennemgang af CVE-2018-7600, tilføjer, at:
Det er meget vanskeligt at rense og validere data, før det står klart, hvordan det bliver brugt, især hvis dette sker for en eksisterende og kompleks applikation som Drupal. Vi vil se, hvordan det vil arbejde for Drupal i det lange løb.
ikke overraskende, CVE-2018-7602 er relateret til den forrige fejl, og det blev opdaget af den samme forsker og medlemmer af Drupal sikkerhedsteam. Som allerede nævnt, revnen øjeblikket udnyttes i naturen. Ifølge Netlab 360 sikkerhedseksperter analyse, der er et stort antal scanninger på internettet mod CVE-2018-7600, og dette gælder også for den anden sårbarhed.
I de CVE-2018-7600-baserede angreb, orm-formering adfærd blev observeret i nogle tilfælde. Efter nogle undersøgelser, Forskerne konkluderede, at dette er forbundet botnet har været aktiv i temmelig lang tid.
Hvordan angrebene udføres?
Angribere lokalisere sårbare Drupal installationer, udnytte fejlen, og installere cryptocurrency minearbejdere og DDoS-malware på kompromitterede servere. Oven i købet, bagdøre er også indsat i disse angreb, gør det muligt for hackere at få adgang til kompromitteret system, når de vil. Således, ud over at anvende de nødvendige patches, Drupal administratorer bør sørge for at kontrollere, om deres installationer er blevet tidligere backdoored.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: