Drupalgeddon se poursuit avec un bug d'exécution de code à distance plus a été découverte dans le système de gestion de contenu. Identifié comme CVE-2018-7602, la vulnérabilité très critique affecte les versions 7.x et 8.x Drupal. Les utilisateurs touchés doivent immédiatement mettre à niveau vers Drupal v7.59 et 8.5.3. Le bogue est activement exploitée dans la nature, l'équipe Drupal dit, alors ne perdez pas de temps et le patch.
Description de CVE-2018-7602
Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x, l'équipe de sécurité Drupal a récemment annoncé. Cela permet aux pirates d'exploiter plusieurs vecteurs d'attaque sur un site en cours d'exécution sur Drupal, ce qui pourrait entraîner le site compromettre de différentes façons. Notez que la référence CVE-2018-7602 est lié au noyau Drupal – très critique – Exécution de code à distance – SA-CORE-2018-002.
Les deux SA-CORE-2018-002 et cette vulnérabilité sont exploités dans la nature, Drupal dit. En outre, si les admins ont des problèmes la mise en œuvre de la mise à jour, ils devraient procéder à l'application des correctifs autonomes. Cependant, avant de poursuivre les administrateurs doivent appliquer le correctif de SA-CORE-2018-002 de Mars 28, 2018. Sites sans ce patch peuvent déjà avoir été compromis.
Drupal vulnérabilités CVE-2018-7602 et CVE-2018-7600
Plus tôt ce mois-ci, un autre bug Drupal très critique a été découverte – CVE-2018-7600, ce qui est très similaire à la référence CVE-2018-7602.
CVE-2018-7600 est également une vulnérabilité d'exécution de code à distance existant au sein de plusieurs sous-systèmes de Drupal 7.x et 8.x. Le bug permet aux pirates d'exploiter plusieurs vecteurs d'attaque sur un site Drupal. Plus précisement, le bug très critique pourrait causer des dommages graves à un site Web qui pourrait être piraté via l'exécution de code à distance en raison d'une validation d'entrée manquante.
Cette faille a été rapidement traitée, mais il n'a pas fallu longtemps pour les attaquants pour développer un exploit après la fixe car il avait été libéré.
"Sites non patchés mercredi, 2018-04-11 peut être compromise. Ceci est la date à laquelle certaines données ont des tentatives d'attaque automatique. Il est des attaques ciblées à eu lieu avant cette,» Comme indiqué par l'équipe de sécurité Drupal.
Comment le problème émergent?
Selon Johannes CTO ISC SANS Ullrich, avec la mise à jour Mars, Drupal a ajouté une fonction globale d'assainissement. Cette approche est souvent difficile de mettre en œuvre correctement, il a dit dans une revue de CVE-2018-7600, ajoutant que:
Il est très difficile de désinfecter et de valider les données avant qu'il ne soit clairement comment il est utilisé, en particulier si cela est fait pour une application existante et complexe comme Drupal. Nous verrons comment cela fonctionnera pour Drupal à long terme,.
Pas étonnant, CVE-2018-7602 est lié au bug précédent, et il a été découvert par le même chercheur et les membres de l'équipe de sécurité Drupal. Comme déjà mentionné, la faille est actuellement exploitée dans la nature. Selon Netlab 360 les chercheurs en sécurité une analyse, il y a un grand nombre d'analyses sur l'internet contre la référence CVE-2018-7600, et cela vaut également pour la deuxième vulnérabilité.
Dans les attaques basées sur la référence CVE-2018-7600, le comportement de propagation du ver a été observée dans certains cas. Après enquête, les chercheurs ont conclu que ce botnet associé est actif depuis un certain temps.
Comment sont les attaques menées?
Les pirates localiser les installations Drupal vulnérables, exploiter la faille, et installer les mineurs et les logiciels malveillants DDoS crypto-monnaie sur les serveurs corrompus. En plus de cela, backdoors sont également déployés dans ces attaques, permettant aux pirates d'accéder au système compromis chaque fois qu'ils veulent. Ainsi, en plus d'appliquer les correctifs nécessaires, admins Drupal devrait assurez-vous de vérifier si leurs installations ont été précédemment backdoors.