Drupalgeddon2: началась эксплуатация SA-CORE-2018-002

    Drupalgeddon2 все-таки пришел к нам.

    image

    Что случилось? После безумного анонса «одной из самых страшных уязвимостей Drupal» все замерли в ожидании рабочего эксплойта и через 4 дня даже начали немного грустить, считая, что вся паника была зря, так как никто не мог придумать ничего стоящего. Но стоило только CheckPoint'у сегодня опубликовать рабочий PoC на SA-CORE-2018-002, как армия ботов начала атаковать сайты на Drupal, что называется, «in the wild».

    По логам выглядит следующим образом:
    3 запроса, первый GET проверяет сам факт возможности проведения атаки, второй POST — атака с пейлоадом, а третий — проверяет успешность загруженного бэкдора.

    image

    На пейлоады у хакеров не хватило то ли времени, то ли фантазии, поэтому выглядят они весьма однотипно:

    image

    В целом, ахтунг достаточно серьезный, процесс пошел и беда в том, что все случилось перед выходными. Тем не менее, хостеры или сервисы, проксирующие трафик, могли бы защитить клиентов, заблокировав запросы с фрагментами на уровне сервера:

    account/mail/%23value (account/mail/#value)
    timezone/timezone/%23value (timezone/timezonel/#value)
    

    Пока по логам видно, что все атаки идут на базе одного и того же питоновского скрипта (хакеры, к счастью, ленивы), и эксплуатируется только запрос к объекту account/mail, но есть как минимум еще одна атака через timezone объект.

    Пока текущие атаки можно закрыть даже на уровне ModRewrite правила, но, вероятно, появятся всякие более сложные варианты.

    RewriteEngine On
    RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
    RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
    RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
    RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
    RewriteRule .* - [L]

    Если кому интересно, в пейлоаде грузят .php бэкдор через wget или curl. Что хакеры будут делать с ними дальше — зависит от их фантазии. Учитывая популярность майнеров, вероятнее всего бэкдоры будут использовать для размещения js-майнеров на страницах (или запуска процессов майнинга на сервере), загрузки фишинговых страниц или спам-рассыльщиков.

    В любом случае, если вы — администратор сайта на Drupal, очень рекомендуем обновиться или хотя бы закрыть сайт правилами от атак и на всякий случай просканировать его файловым сканером AI-BOLIT'ом и он-лайн сканером ReScan.Pro, чтобы быть уверенным, что вас не хакнули.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 11
    • +2
      Все самое «интересное» всегда случается в пятницу вечером.
      • 0
        пятница 13е
        ну как тут не повеселиться (((
        • –7
          Боже, да кому нафиг сдался этот Друпал. Может в 2001 году еще был смысл его использовать, но в 2018 это просто смешно. Короче сами дураки. В IT развитие и обновление IT инфраструктуры вкладываться надо иначе рано или поздно аукнется.
          • +6
            Ну… на самом деле он конечно же не wordpress, но таки тоже достаточно сильно популярен, чтобы злоумышленники обратили на него внимание. Гораздо больше чем кажется.
            • +5
              Drupal при всех его недостатках не самая популярная но одна из самых или даже самая мощная cms не только на php но и вообще. На ней написан ряд очень посещаемых сайтов поэтому вред может быть достаточно ощутимым
            • –3
              В релизах 7.58 и 8.5.1 же уязвимость пофиксили. Релизы еще от конца марта.
              www.drupal.org/project/drupal/releases/7.58
              www.drupal.org/project/drupal/releases/8.5.1
              Вы бы еще через пару месяцев написали…
              • +3
                PoC появился только в конце этой недели. Появись он через пару месяцев, написали бы тогда. Согласно статистике больше половины сайтов так и не обновились.
                • –1
                  Так и цель поста тогда должна быть с призывом обновиться, ссылками на релизы, а не предложением закастомить htaccess. То, что не обновились, это печально, я всех призываю сразу с выходом релизов обновляться. Но все равно не понимаю зачем популяризировать PoC (да еще со ссылкой), среди школохакеров. Хотя, наверное не все следуют DrupalWay и не трогают ядро.
              • –1

                Сегодня еще и на /file/ajax/name/%23value/form-ZwGc7yP_S7ice_nAo_Z5Z6mQh0Ou9_C27TXWqYzto-0 начали ломиться.

                • 0
                  Для тех у кого нет под рукой разработчиков, сделали небольшую тулзу для автофикса дыры
                  • –1
                    После таких вот фокусов сделал для себя вывод что если делать коммерческий проект, то точно не на друпале)) В многострадальном Битриксе такого не найти. Простая ситуация достались зоопарком 4 друпал сайта не обновленных с 2016 года прошлыми разработчиками и 3 на чистом php + mysql, когда слегли 7 сайтов то как-то не по себе стало). Сначала думал что прошляпил прошлый разработчик уязвимость в самописках, интервал заброса был примерно раз в 2-3 часа, то есть базу вели о том где были успешные внедрения, потом выяснилось что заброс шел через друпал. А после просмотра логов сервера и прямого запроса «Уязвимости друпал» гугл уже вывел на статью PoC. Для меня это был шок особенно когда с друпалом до этого дела не имел.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое