کمیته رکن چهارم – پژوهشگران متوجه شدند پس از انتشار عمومی یک روش بهرهبرداری اثبات مفهومی برای یک آسیبپذیری وصلهشدهی موجود در سامانهی مدیریت محتوای دروپال، نفوذگران تلاش میکنند تا از این اشکال سوء استفاده کنند.
در اواخر ماه مارس، توسعهدهندگان دروپال یک بهروزرسانی به منظور وصلهی آسیبپذیری CVE-۲۰۱۸-۷۶۰۰ منتشر کردند، این آسیبپذیری یک اشکال بحرانی اجرای کد از راه دور است که میتواند برای دستیابی به کنترل کامل یک وبگاه مورد بهرهبرداری قرار بگیرد. این حفرهی امنیتی نسخههای ۶ و ۷ و ۸ دروپال را تحت تاثیر قرار میدهد، و برای تمام این نسخههای تحت تاثیر وصلههایی ارائه شده است، با اینکه نسخهی ۶ دروپال از فوریهی سال ۲۰۱۶ میلادی پشتیبانی نمیشود اما برای این نسخه نیز بهروزرسانیهای برای رفع آسیبپذیری منتشر شده است.
کارشناسان در زمان شناسایی این آسیبپذیری هشدار دادند که این آسیبپذیری که Drupalgeddon۲ نام دارد، سریعا مورد بهرهبرداری قرار خواهد گرفت. اما با این حال دو هفته طول کشید که یک کد اثبات مفهومی برای این آسیبپذیری به صورت عمومی منتشر شود.
پژوهشگران شرکت چکپوینت و کارشناسان دروپال در Dofinity که برای کشف این آسیبپذیری همکاری کرده بودند روز پنجشنبه یک تجزیه و تحلیل فنی دقیق برای آن منتشر کردند.
این پژوهشگران در یک پستوبلاگی توضیح دادند: «به طور کلی میتوان گفت دروپال ورودیهایی که در قالب درخواستهای API (FAPI) AJAX هستند را به طور مناسبی مورد بررسی قرار نمیدهد. در نتیجه یک مهاجم میتواند یک بار دادهی مخرب را به ساختار فرم داخلی تزریق کند. به این ترتیب دروپال این بار دادهی مخرب را بدون احراز هویت کاربر اجرا میکند. یک مهاجم با بهرهبرداری از این آسیبپذیری میتواند کنترل کامل وبگاههای مشتری دروپال را به دست بگیرد.»
مدت کوتاهی پس از اینکه شرکتهای چکپوینت و Dofinity تجزیه و تحلیل خود را منتشر کردند، Vitalii Rudnykh یک روش بهرهبرداری اثبات مفهومی از این آسیبپذیری را با اهداف آموزشی منتشر کرد و افراد دیگری نیز تایید کردند که این روش به درستی کار میکند. پس از انتشار این کد اثبات مفهومی شرکتهای امنیتی Sucuri و SANS Internet Storm Center متوجه شدند که نفوذگران تلاش میکنند از اشکال Drupalgeddon۲ سوء استفاده کنند.
تا این لحظه گزارشی مبنیبر اینکه نفوذگران توانسته باشند با سوء استفاده از آسیبپذیری CVE-۲۰۱۸-۷۶۰۰ به وبگاهی نفوذ کنند، منتشر نشده است. ظاهرا مهاجمان فعلا در حال پویش در وب برای یافتن کارگزارهای آسیبپذیر هستند. بار دادههایی که توسط پژوهشگران SANS شناسایی شدهاند از دستورات سادهای مانند echo، phpinfo، whoami، و touch استفاده میکنند.
سرویسهای امنیتی وب از جمله دیوارهی آتش برنامهی وب Cloudflare میتوانند حملاتی که با بهرهبرداری از این آسیبپذیری راهاندازی میشوند را مسدود کنند.
مدیر ISC، کوین لیستون گفت: «مهاجمان به سرعت تلاش میکنند تا از این آسیبپذیری بهرهبرداری کنند.» بنیانگذار شرکت امنیتی Sucuri، دانیل سید نیز هشدار داد که انتظار میرود تلاشها برای سوء استفاده از این اشکال افزایش یابد.
آسیبپذیری Drupalgeddon اولیه که در اکتبر ۲۰۱۴ میلادی کشف شد، تنها ۷ ساعت پس از انتشار وصله مورد بهرهبرداری قرار گرفته و برای مدت دو سال توسط مجرمان سایبری مورد استفاده قرار گرفت.
منبع : news.asis.io
