حملات امنیتی اخیر با سوءاستفاده از آسیب‌پذیری جدید Drupal

تنها چند ساعت بعد از آنکه تیم Drupal برای رفع آسیبپذیری تازه کشف شده بروزرسانی مربوطه را اعلام کرد، مهاجمین شروع به سواستفاده از این آسیبپذیری نمودند. آسیب‌پذیری تازه کشف شده در Drupal به شماره مرجع CVE-2018-7602 نسخه‌های ۷ و ۸  دقیقا مثل آسیب‌پذیری قبلی که Drupalgeddon2 نام داشت، به مهاجم اجازه می‌دهد تا از راه دور سایت را کامل از کار بیندازد.

تیم فنی Drupal هیچگونه جزئیات فنی‌ای از این آسیب‌پذیری منتشر نکرد تا مهاجمان نتوانند اکسپلویت آن را بلافاصله نوشته و منتشر کنند. اما دو نفر از مهاجمین امنیتی این آسیب‌پذیری را به سرعت بررسی و اکسپلویت آن را منتشر کردند.

اگر اخبار امنیتی را دنبال کرده باشید، حتما دیده‌اید که آسیب‌پذیری قبلی Drupal چطور مهاجمین امنیتی در سراسر دنیا را به حرکت انداخت. برخی از این مهاجمین موفق شدند با سواستفاده از این آسیب‌پذیری کنترل کامل برخی وب‌سایت‌ها را به دست گرفته و از طریق آن‌ها minerهای ارز دیجیتال، درب‌های پشتی و انواع مختلفی از بدافزارها را منتشر نمایند.  تیم امنیتی Drupal نسبت به یک آسیب‌پذیری جدید که به مهاجم اجازه می‌دهد تا کدهای مورد نظرش را اجرا نماید، هشدار داده است. تیم امنیتی Drupal از این آسیب‌پذیری به عنوان Drupalgeddon3 یاد می‌کند.

 

 

Drupalgeddon3

آسیب‌پذیری جدید Drupal با نام Drupalgeddon3 به دلیل عدم اعتبارسنجی مناسب در فرم‌های API  (آرایه‌های قابل رندر شدن) می‌باشد. این آرایه‌ها ابرداده‌ها را رندر می‌کنند و آن‌ها را به خروجی‌ای تبدیل می‌کنند که برای UIهای Drupal قابل فهم باشند. این آرایه‌ها با علامت # آغاز می‌شوند.

حال به نحوه استفاده از این آسیبپذیری میپردازیم. زمانی که یک کاربر که قبلا ثبتنام  کرده است درخواست پاک کردن یک گره را میدهد (گره میتواند قسمتی از محتوی مثل یک صفحه، مقاله، فروم و یا یک پست باشد). این درخواست از طریق پارامتر GET در یک URL ارسال شده، بارگذاری میگردد. از آنجایی که بررسی ورودیها به درستی صورت نمیپذیرد مهاجمی که احراز هویت شده است، کدهای مورد نظرش را در URL قرار داده و با فریب وبسایت آنها را اجرا مینماید. این مقادیر از تابع stripDangerousValues() عبور کرده و فیلتر می‌شوند. این تابع “%۲۵۲۳”  را به “%۲۳” کدگشایی میکند که در واقع یونی کد هش (#) می‌باشد. در نتیجه کدهایی که بعد از این یونیکد میآیند پردازش خواهند شد.

 

درجه اهمیت این آسیب‌پذیری

در ابتدا، توسعهدهندگان Drupal احتمال وقوع حمله واقعی با استفاده از این آسیبپذیری را کم میدانستند اما بعد از گزارشات حملاتی که اتفاق افتاد، تیم امنیتی Drupal درجه این آسیبپذیری را به بسیار حساس تغییر داد. بنابراین به تمامی صاحبان وبسایتهایی که با سیستم مدیریت محتوی Drupal ساخته شدهاند اکیدا توصیه میگردد که برروزرسانیهای امنیتی را نصب نمایند. برای اطلاعات بیشتر میتوانید به خبر مربوط به این آسیبپذیری مراجعه نمایید.

 

منبع:
https://thehackernews.com/2018/04/drupalgeddon3-exploit-code.html