نفوذگران بهره‌برداری از آسیب‌پذیری Drupalgeddon2 را آغاز کرده‌اند

پژوهش‌گران متوجه شدند پس از انتشار عمومی یک روش بهره‌برداری اثبات مفهومی برای یک آسیب‌پذیری وصله‌شده‌ی موجود در سامانه‌ی مدیریت محتوای دروپال، نفوذگران تلاش می‌کنند تا از این اشکال سوء استفاده کنند.

در اواخر ماه مارس، توسعه‌دهندگان دروپال یک به‌روزرسانی به منظور وصله‌ی آسیب‌پذیری CVE-2018-7600 منتشر کردند، این آسیب‌پذیری یک اشکال بحرانی اجرای کد از راه دور است که می‌تواند برای دستیابی به کنترل کامل یک وب‌گاه مورد بهره‌برداری قرار بگیرد. این حفره‌ی امنیتی نسخه‌های ۶ و ۷ و ۸ دروپال را تحت تاثیر قرار می‌دهد، و برای تمام این نسخه‌های تحت تاثیر وصله‌هایی ارائه شده است، با اینکه نسخه‌ی ۶ دروپال از فوریه‌ی سال ۲۰۱۶ میلادی پشتیبانی نمی‌شود اما برای این نسخه نیز به‌روزرسانی‌های برای رفع آسیب‌پذیری منتشر شده است.

کارشناسان در زمان شناسایی این آسیب‌پذیری هشدار دادند که این آسیب‌پذیری که Drupalgeddon2 نام دارد، سریعا مورد بهره‌برداری قرار خواهد گرفت. اما با این حال دو هفته طول کشید که یک کد اثبات مفهومی برای این آسیب‌پذیری به صورت عمومی منتشر شود.

 

پژوهش‌گران شرکت چک‌پوینت و کارشناسان دروپال در Dofinity که برای کشف این آسیب‌پذیری همکاری کرده بودند روز پنج‌شنبه یک تجزیه‌ و تحلیل فنی دقیق برای آن منتشر کردند.

این پژوهش‌گران در یک پست‌وبلاگی توضیح دادند: «به طور کلی می‌توان گفت دروپال ورودی‌هایی که در قالب درخواست‌های API (FAPI) AJAX هستند را به طور مناسبی مورد بررسی قرار نمی‌دهد. در نتیجه یک مهاجم می‌تواند یک بار داده‌ی مخرب را به ساختار فرم داخلی تزریق کند. به این ترتیب دروپال این بار داده‌ی مخرب را بدون احراز هویت کاربر اجرا می‌کند. یک مهاجم با بهره‌برداری از این آسیب‌پذیری می‌تواند کنترل کامل وب‌گاه‌های مشتری دروپال را به دست بگیرد.»

مدت کوتاهی پس از این‌که شرکت‌های چک‌پوینت و Dofinity تجزیه و تحلیل خود را منتشر کردند، Vitalii Rudnykh یک روش بهره‌برداری اثبات مفهومی از این‌ آسیب‌پذیری را با اهداف آموزشی منتشر کرد و افراد دیگری نیز تایید کردند که این روش به درستی کار می‌کند. پس از انتشار این کد اثبات مفهومی شرکت‌های امنیتی Sucuri و SANS Internet Storm Center متوجه شدند که نفوذگران تلاش می‌کنند از اشکال Drupalgeddon2 سوء استفاده کنند.

 

تا این لحظه گزارشی مبنی‌بر این‌که نفوذگران توانسته باشند با سوء استفاده از آسیب‌پذیری CVE-2018-7600 به وب‌گاهی نفوذ کنند، منتشر نشده است. ظاهرا مهاجمان فعلا در حال پویش در وب برای یافتن کارگزارهای آسیب‌پذیر هستند. بار داده‌هایی که توسط پژوهش‌گران SANS شناسایی شده‌اند از دستورات ساده‌ای مانند echo، phpinfo، whoami، و touch استفاده می‌کنند.

سرویس‌های امنیتی وب از جمله دیواره‌ی آتش برنامه‌ی وب Cloudflare می‌توانند حملاتی که با بهره‌برداری از این آسیب‌پذیری راه‌اندازی می‌شوند را مسدود کنند.

مدیر ISC، کوین لیستون گفت: «مهاجمان به سرعت تلاش می‌کنند تا از این آسیب‌پذیری بهره‌برداری کنند.» بنیان‌گذار شرکت امنیتی Sucuri، دانیل سید نیز هشدار داد که انتظار می‌رود تلاش‌ها برای سوء استفاده از این اشکال افزایش یابد.

آسیب‌پذیری Drupalgeddon اولیه که در اکتبر ۲۰۱۴ میلادی کشف شد، تنها ۷ ساعت پس از انتشار وصله مورد بهره‌برداری قرار گرفته و برای مدت دو سال توسط مجرمان سایبری مورد استفاده قرار گرفت.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید