Что случилось? После безумного анонса «одной из самых страшных уязвимостей Drupal» все замерли в ожидании рабочего эксплойта и через 4 дня даже начали немного грустить, считая, что вся паника была зря, так как никто не мог придумать ничего стоящего. Но стоило только CheckPoint'у сегодня опубликовать рабочий PoC на SA-CORE-2018-002, как армия ботов начала атаковать сайты на Drupal, что называется, «in the wild».
По логам выглядит следующим образом:
3 запроса, первый GET проверяет сам факт возможности проведения атаки, второй POST — атака с пейлоадом, а третий — проверяет успешность загруженного бэкдора.
На пейлоады у хакеров не хватило то ли времени, то ли фантазии, поэтому выглядят они весьма однотипно:
В целом, ахтунг достаточно серьезный, процесс пошел и беда в том, что все случилось перед выходными. Тем не менее, хостеры или сервисы, проксирующие трафик, могли бы защитить клиентов, заблокировав запросы с фрагментами на уровне сервера:
account/mail/%23value (account/mail/#value)
timezone/timezone/%23value (timezone/timezonel/#value)
Пока по логам видно, что все атаки идут на базе одного и того же питоновского скрипта (хакеры, к счастью, ленивы), и эксплуатируется только запрос к объекту account/mail, но есть как минимум еще одна атака через timezone объект.
Пока текущие атаки можно закрыть даже на уровне ModRewrite правила, но, вероятно, появятся всякие более сложные варианты.
RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]Если кому интересно, в пейлоаде грузят .php бэкдор через wget или curl, например такой: pastebin.com/raw/b8eiGQRV (урл взят прямо из запроса). Что хакеры будут делать с ними дальше — зависит от их фантазии. Учитывая популярность майнеров, вероятнее всего бэкдоры будут использовать для размещения js-майнеров на страницах (или запуска процессов майнинга на сервере), загрузки фишинговых страниц или спам-рассыльщиков.
Комментарии (8)
beduin01
14.04.2018 09:17Боже, да кому нафиг сдался этот Друпал. Может в 2001 году еще был смысл его использовать, но в 2018 это просто смешно. Короче сами дураки. В IT развитие и обновление IT инфраструктуры вкладываться надо иначе рано или поздно аукнется.
neuotq
14.04.2018 09:48+1Ну… на самом деле он конечно же не wordpress, но таки тоже достаточно сильно популярен, чтобы злоумышленники обратили на него внимание. Гораздо больше чем кажется.
apapacy
14.04.2018 13:50+5Drupal при всех его недостатках не самая популярная но одна из самых или даже самая мощная cms не только на php но и вообще. На ней написан ряд очень посещаемых сайтов поэтому вред может быть достаточно ощутимым
SeoTron
14.04.2018 22:26-2В релизах 7.58 и 8.5.1 же уязвимость пофиксили. Релизы еще от конца марта.
www.drupal.org/project/drupal/releases/7.58
www.drupal.org/project/drupal/releases/8.5.1
Вы бы еще через пару месяцев написали…
andead
14.04.2018 23:14+2PoC появился только в конце этой недели. Появись он через пару месяцев, написали бы тогда. Согласно статистике больше половины сайтов так и не обновились.
SeoTron
15.04.2018 02:02-1Так и цель поста тогда должна быть с призывом обновиться, ссылками на релизы, а не предложением закастомить htaccess. То, что не обновились, это печально, я всех призываю сразу с выходом релизов обновляться. Но все равно не понимаю зачем популяризировать PoC (да еще со ссылкой), среди школохакеров. Хотя, наверное не все следуют DrupalWay и не трогают ядро.
LukaSafonov
Все самое «интересное» всегда случается в пятницу вечером.