The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Новая критическая уязвимость в Drupal, уже используемая для ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от opennews (??) on 26-Апр-18, 09:35 
Спустя менее месяца с момента исправления (https://www.opennet.ru/opennews/art.shtml?num=48348) прошлой критической проблемы в  системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2018-004) новая уязвимость (CVE-2018-7602 (https://security-tracker.debian.org/tracker/CVE-2018-7602)), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса.  Проблема затрагивает ветки  Drupal 7.x и 8.x.

Опасность уязвимости усугубляет наличие (https://pastebin.com/pRM8nmwj) в открытом доступе рабочего прототипа эксплоита и использование уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе   Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно сформированы (https://www.drupal.org/psa-2018-003) обновления Drupal 7.59, 8.4.8 и 8.5.3, а также подготовлен патч (https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=080daa3...). Новые версии пакетов для дистрибутивов сформированы для Debian (https://security-tracker.debian.org/tracker/CVE-2018-7602) и Fedora (https://bodhi.fedoraproject.org/updates/?releases=F26&type=s...) (исправление пока отсутствует в Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...), FreeBSD (http://www.vuxml.org/freebsd/), EPEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-7602)).


Уязвимость выявлена в процессе анализа возможного проявления проблемы CVE-2018-7600, которая была обнаружена в конце марта, в других частях кода. Метод эксплуатации CVE-2018-7602 аналогичен CVE-2018-7600 и также связан с некорректной обработкой параметров, начинающийся с символа "#", который рассматривается как спецключ для вызова произвольного PHP-обработчика через
Render Arrays (https://www.drupal.org/docs/8/api/render-api/render-arrays)  и Drupal Form API (https://api.drupal.org/api/drupal/developer%21topics�...).


В отличие от прошлых эксплоитов, новый метод основан (https://twitter.com/_dreadlocked/status/989206562945273859) на обходе функций фильтрации сецсимволов путём  кодирования символа "#" в форме последовательности "%2523", где "%25" код символа "%", т.е. строка будет декодирована в "%23", а затем "%23" будет обработан как "#" ("%23" код "#"). Например, для запуска утилиты whoami можно отправить запрос:

   POST /?q=node/99/delete&destination=node?q[%2523][]=passthru%26q[%2523type]=markup%26q[%2523markup]=whoami
   ...
   form_id=node_delete_confirm&_triggering_element_name=form_id&form_token=[CSRF-TOKEN]


Затем нужно получить значение form_build_id  и инициировать выполнение операции:


   POST /drupal/?q=file/ajax/actions/cancel/%23options/path/[FORM_BUILD_ID] HTTP/1.1
   ...
   form_build_id=[FORM_BUILD_ID]


Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию и подняли уровень опасности проблемы до "Highly critical" (20∕25). Доступный прототип эксплоита требует аутентифицированного доступа с правами удаления узлов, но судя по успешности начатой злоумышленниками атаки (https://twitter.com/unmaskparasites/status/988876779736748032), метод может быть адаптирован и для других форм.


Тем временем,
в сети зафиксирован (https://blog.netlab.360.com/botnet-muhstik-is-actively-explo.../) вариант сетевого червя Muhstik, адаптированный для получения контролля за системами через мартовскую уязвимость в Drupal (CVE-2018-7600). Несмотря на многочисленные предупреждения о необходимости установки обновления в сети остаётся большое число необновлённых хостов, чем и пользуется червь Muhstik. В том числе поражены оказались некоторые крупные сайты госучреждений и компаний. Muhstik используется злоумышленниками для построения ботнета из серверов, который может выполнять такие задачи, как проведение DDoS-атак, сканирование сетей для обнаружения новых уязвимых хостов и майнинг криптовалют XMR и BTC.


URL: https://www.drupal.org/sa-core-2018-004
Новость: https://www.opennet.ru/opennews/art.shtml?num=48495

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +4 +/
Сообщение от Аноним (??) on 26-Апр-18, 09:35 
Ой, опять фильтрация, лень человеческая в чистом виде.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от Аноним (??) on 26-Апр-18, 09:41 
Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белый список.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от нах on 26-Апр-18, 10:51 
> Когда уже до этих дятлов дойдет, что бесполезно фильтровать, а нужен только белый список.

никогда. Они когда становятся достаточно взрослыми, уже пилят другие проекты, а не опенсорсие.
А на их место приходит новое поколение, которое опять вместо транслятора пишет регекс, потому что ничего другого не умеет.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +5 +/
Сообщение от Аноним (??) on 26-Апр-18, 12:45 
Если вводить белый список то друпал туда не попадёт :(
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Новая критическая уязвимость в Drupal, уже используемая для ..."  –2 +/
Сообщение от Аноним (??) on 26-Апр-18, 09:47 
Ау! В Firefox появится защита от CSRF-атак.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от Аноним (??) on 28-Апр-18, 09:51 
> Ау! В Firefox появится защита от CSRF-атак.

забыл добавить "если только её включть".

таким образом грошь ей цена.

потомучто CSRFзащиту можно было включить и раньше, например через csrftoken

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от ыы on 26-Апр-18, 09:52 
Есть такое дело. Есть боты пытающиеся сие эксплуатировать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от MrClon (ok) on 26-Апр-18, 10:21 
У моего клиента один сайт на друпале похачили. На VPS несколько десятков полузаброшенных сайтов на WP, но брат жив, похачили только Друпал
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Хорошо!"  +/
Сообщение от Аноним (??) on 26-Апр-18, 10:44 
Надо больше хаков, больше краж, больше вирусни, в общем, больше угара. Иначе это болото никак не проймешь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Хорошо!"  +/
Сообщение от Аноуецен on 26-Апр-18, 20:41 
Может просто надо нанять профессионалов и им деньги платить?
Сейчас разрабав друпол легко понять. Им влом смотреть ваши багрепорты пока сам сайт друпала не ломанут.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от Michael Shigorin email(ok) on 26-Апр-18, 10:45 
Н-да, недаром про 7.x знакомый вздыхал -- мол, попереколбасили.  Надеюсь, TYPO3 не огребёт аналогичными граблями.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Новая критическая уязвимость в Drupal, уже используемая для ..."  –1 +/
Сообщение от Аноним (??) on 26-Апр-18, 12:26 
Тем, кто начинал с 6-й версии Drupal не нравится седьмая. Те, кто пилил седьмую воют на восьмую. И причем тут уязвимости? Мне вот Alt Linux ни под каким соусом не заходит, хотя это был первый дистрибутив Linux, с которым я познакомился. Ну не переношу я его, при всем уважении к труду его разработчиков.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +2 +/
Сообщение от KonstantinB (ok) on 26-Апр-18, 12:40 
В шестом тот же принцип с пометкой # колбэков используется, да и вообще с незапамятных времен. Просто нашли частный случай для обхода фильтра, который по стечению обстоятельств не работает в шестерке. Сам подход изначально порочен, это еще долго будет аукаться.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от нах on 26-Апр-18, 14:02 
> В шестом тот же принцип с пометкой # колбэков используется, да и
> вообще с незапамятных времен. Просто нашли частный случай для обхода фильтра,
> который по стечению обстоятельств не работает в шестерке.

или просто поленились проверить.

> Сам подход изначально порочен, это еще долго будет аукаться.

вечно. Они же ничему так и не научились.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от 123 (??) on 26-Апр-18, 14:46 
В шестерке что эта, что предыдущая дыра также присутствует. И именно поэтому она есть в 7-ке и 8-ке, так как этот легаси код переносили без особых изменений.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от Аноним (??) on 26-Апр-18, 13:30 
> Надеюсь, TYPO3 не огребёт аналогичными граблями.

Конечно нет, это же *Enterprise* Content Management System.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от ОнанВарвар email on 27-Апр-18, 10:42 
Drupal 7-ка уже фактически заброшена. Все не желающие переходить на 8-ку пилят Backdrop CMS (форк 7-ки).
TYPO3 другой уровень, но дырки тоже есть: https://www.cybersecurity-help.cz/vdb/SB2017122505?affChecked=1
Главное защитить инфраструктуру - поднимать веб-сервер с максимальной изоляцией сервисов.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

39. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от пох on 27-Апр-18, 19:56 
кого и от чего ты собрался защищать?
Если вместо вебсервера твоей конторы красуется Чорный Властелин - клиенты говорят "до свидания" и идут к другим, что _еще_ после этого ты собрался защищать?

Если сервер твоего проекта за пять секунд намертво встревает во все возможные и невозможные блэклисты из-за рассылки спама мегатоннами, и ты не можешь даже выслать клиенту подтвердение регистрации (и он опять удивленно пожимает плечами и идет к конкурентам) - кого и от чего ты еще собрался защищать?

Если просто тихо майнит не в твою пользу - тогда и защищать нечего и не от кого.

А если сервер для галочки, а на самом деле ты на рынке носками торгуешь, то опять же нечего и не от кого - никто и не заметит, что его поимели, еще и десять лет спустя.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

24. "Новая критическая уязвимость в Drupal, уже используемая для ..."  –2 +/
Сообщение от Аноним (??) on 26-Апр-18, 13:05 
Нужен вирус, удаляющий папку сайта или хотя бы устанавливающий патчи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Новая критическая уязвимость в Drupal, уже используемая для ..."  –2 +/
Сообщение от Аноним (??) on 26-Апр-18, 15:02 
ненужен такой вирус, нужен майнер
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +2 +/
Сообщение от Sylvia (ok) on 26-Апр-18, 14:21 
Drupal 6 тоже уязвим. Патчи тут - https://www.drupal.org/project/d6lts/issues/2965601
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Новая критическая уязвимость в Drupal, уже используемая для ..."  –1 +/
Сообщение от Аноним (??) on 26-Апр-18, 22:19 
> Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию

Кодеры такие кодеры.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +1 +/
Сообщение от ОнанВарвар email on 27-Апр-18, 10:49 
Модуль Media (https://www.drupal.org/project/media) тоже уязвим. Исправления уже есть, кроме устаревшей ветки 1.xx.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Новая критическая уязвимость в Drupal, уже используемая для ..."  +/
Сообщение от ОнанВарвар email on 29-Апр-18, 08:17 
Вышло исправление для старой версии модуля Media 1.6, закрывающее уязвимость.
https://www.drupal.org/project/media/releases/7.x-1.7
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру