اخیراً تیم خدمات امنیتی IBM (Managed Security Services (MSS))، موجی از حملات علیه وب‌سایت‌هایی با سیستم مدیریت محتوای دروپال را مشاهده کرده است. این کارزار از یک آسیب‌پذیری بسیار بحرانی (highly critical) در دروپال بهره می‌برد که در اواخر مارچ (اوایل فروردین) وصله شده بود اما بسیاری از مدیران سیستم هنوز این وصله را اعمال نکرده اند و در نتیجه هدف جذابی را برای مهاجمین فراهم کرده‌اند. این کارزار با استفاده از این آسیب‌پذیری یک بدافزار از نوع Shellbot را در سیستم قربانی جای می‌دهد که برای مهاجم در پشتی باز می‌کند.

آخرالزمان دوم دروپال

آسیب‌پذیری‌ای که شناسه CVE-2018-7600 را به خود اختصاص داده بود، به Drupalgeddon 2.0 (آخرالزمان دروپال 2) معروف شده است. منشاء این آسیب‌پذیری، آرایه‌های قابل رندر (renderable arrays) دروپال است. آرایه قابل رندر، آرایه‌ای از کلید-مقدارها است که اطلاعات لازم برای رندر گرفتن عناصر markup و رابط کاربری را در خود جای می‌دهد. ویژگی‌های عناصر markup دارای کلیدهایی هستند که با کاراکتر ‘#’ شروع می‌شوند.

مقداری که به بعضی از این کلیدها داده می‌شود، می‌تواند یک کد قابل اجرا باشد. بنابراین مهاجم می‌تواند با بهره‌گیری از این قابلیت کد دلخواه خود را روی سرور اجرا کند. برای رفع این آسیب‌پذیری، کد دروپال طوری تغییر داده شد که مقدار این کلیدها را بررسی و پاکسازی (sanitize) کند.

در این حمله، پارامترهایی در قالب درخواست HTTP به وب‌سایت قربانی ارسال می‌شود که اسکریپت Shellbot را دانلود می‌کند. بدافزار Shellbot، از سال 2005 وجود داشته است، اما همچنان مهاجمین از آن استفاده می‌کنند. در این حمله از یک آسیب‌پذیری دیگر هم استفاده می‌شود که شناسه آن CVE-2018-7602 است.

کنترل و فرمان

پس از دانلود، این بات با یک کانال چت irc به عنوان سرور فرمان و کنترل (C&C) ارتباط برقرار کرده و دستورات خود را از آن دریافت می‌کند. دستوراتی که این نمونه از بات می‌توانند اجرا کنند، شامل جستجو برای آسیب‌پذیری‌های تزریق sql و راه‌اندازی حملات منع سرویس توزیع شده (DDoS) است.

به‌روزرسانی

برای به‌روزرسانی به لینک زیر مراجعه نمایید:

https://www.drupal.org/sa-core-2018-004

منبع