Drupalgeddon gaat verder met nog een uitvoering van externe code fout is ontdekt in content management systeem. Geïdentificeerd als CVE-2018-7602, de zeer kritische beveiligingslek treft Drupal versies 7.x en 8.x. Getroffen gebruikers moeten onmiddellijk een upgrade naar Drupal v7.59 en 8.5.3. De bug is actief in het wild misbruik, de Drupal team zei, dus geen tijd en patch te verspillen.
Officiële Beschrijving van CVE-2018-7602
Een beveiligingslek bestaat in verschillende subsystemen van Drupal 7.x en 8.x, de Drupal security team heeft onlangs aangekondigd. Dit maakt het mogelijk aanvallers te exploiteren meerdere aanvalsvectoren op een site die draait op Drupal, wat kan resulteren in de site in gevaar wordt gebracht op verschillende manieren. Merk op dat CVE-2018-7602 is gerelateerd aan Drupal core – zeer kritisch – Uitvoering van externe code – SA-CORE-2018-002.
Beide SA-CORE-2018-002 en deze kwetsbaarheid worden uitgebuit in het wild, Drupal zei. Bovendien, als admins problemen ondervindt met de uitvoering van de update, ze dienen te doen toepassen zelfstandige pleisters. Echter, alvorens over te gaan admins moeten de correctie toepassen van SA-CORE-2018-002 vanaf maart 28, 2018. Websites zonder deze patch misschien al gecompromitteerd.
Drupal beveiligingslekken CVE-2018-7602 en CVE-2018-7600
Eerder deze maand, een andere zeer kritische Drupal bug werd ontdekt – CVE-2018-7600, die sterk lijkt op CVE-2018-7602.
CVE-2018-7600 is een beveiligingslek uitvoering van externe code bestaande in meerdere subsystemen van Drupal 7.x en 8.x. De bug aanvallers de mogelijkheid te exploiteren meerdere aanvalsvectoren op een Drupal website. Specifieker, de zeer kritieke bug kan ernstige schade aan een website die via externe code kan worden gehackt veroorzaken als gevolg van een ontbrekende invoervalidatie.
Deze fout werd snel opgelost, maar het duurde niet lang voor de aanvallers te ontwikkelen een exploit na de vaste want het was vrijgelaten.
"Sites niet gepatched woensdag, 2018-04-11 kan worden aangetast. Dit is de datum waarop bewijzen gevonden geautomatiseerde aanvalspogingen. Het is mogelijk gerichte aanslagen plaatsvonden daarvoor,”Zoals aangegeven door de Drupal security team.
Hoe is het probleem ontstaan?
Volgens SANS ISC CTO Johannes Ullrich, met de maart-update, Drupal voegde een wereldwijde sanitaire functie. Deze aanpak is vaak moeilijk om correct uit te voeren, Hij zei in een recensie van CVE-2018-7600, toe te voegen dat:
Het is heel moeilijk om te saneren en valideren van data voordat duidelijk is hoe het wordt gebruikt, in het bijzonder indien dit gebeurt voor een bestaande en complexe applicatie zoals Drupal. We zullen zien hoe dit zal werken voor Drupal op de lange termijn.
niet verrassend, CVE-2018-7602 is gerelateerd aan de vorige bug, en het werd ontdekt door dezelfde onderzoeker en leden van de Drupal security team. Zoals reeds gezegd, de fout is momenteel in het wild misbruik. Volgens NetLab 360 security onderzoekers analyse, zijn er een groot aantal scans op het internet tegen CVE-2018-7600, en dit geldt ook voor de tweede kwetsbaarheid.
In de CVE-2018-7600-gebaseerde aanvallen, worm-vermeerdering gedrag werd waargenomen in sommige gevallen. Na enig onderzoek, concludeerden de onderzoekers dat dit gepaard botnet actief is geweest voor geruime tijd.
Hoe worden de aanvallen uitgevoerd?
Aanvallers vinden kwetsbaar Drupal installaties, exploiteren de fout, en installeer cryptogeld mijnwerkers en DDoS malware op gecompromitteerde servers. Daarbovenop, backdoors worden ook ingezet in deze aanvallen, waardoor hackers toegang krijgen tot de getroffen systeem wanneer ze maar willen. Zo, naast de toepassing van de benodigde pleisters, Drupal admins moeten ervoor zorgen om te controleren of hun installaties zijn eerder backdoored.