باز هم آخرالزمان: باگ قدیمی دروپال و کارزار جدید
اخیراً تیم خدمات امنیتی IBM (Managed Security Services (MSS))، موجی از حملات علیه وبسایتهایی با سیستم مدیریت محتوای دروپال را مشاهده کرده است.
اخیراً تیم خدمات امنیتی IBM (Managed Security Services (MSS))، موجی از حملات علیه وبسایتهایی با سیستم مدیریت محتوای دروپال را مشاهده کرده است. این کارزار از یک آسیبپذیری بسیار بحرانی (highly critical) در دروپال بهره میبرد که در اواخر مارچ (اوایل فروردین) وصله شده بود اما بسیاری از مدیران سیستم هنوز این وصله را اعمال نکرده اند و در نتیجه هدف جذابی را برای مهاجمین فراهم کردهاند. این کارزار با استفاده از این آسیبپذیری یک بدافزار از نوع Shellbot را در سیستم قربانی جای میدهد که برای مهاجم در پشتی باز میکند.
|
آخرالزمان دوم دروپال |
آسیبپذیریای که شناسه CVE-2018-7600 را به خود اختصاص داده بود، به Drupalgeddon 2.0 (آخرالزمان دروپال 2) معروف شده است. منشاء این آسیبپذیری، آرایههای قابل رندر (renderable arrays) دروپال است. آرایه قابل رندر، آرایهای از کلید-مقدارها است که اطلاعات لازم برای رندر گرفتن عناصر markup و رابط کاربری را در خود جای میدهد. ویژگیهای عناصر markup دارای کلیدهایی هستند که با کاراکتر ‘#’ شروع میشوند.
|
مقداری که به بعضی از این کلیدها داده میشود، میتواند یک کد قابل اجرا باشد. بنابراین مهاجم میتواند با بهرهگیری از این قابلیت کد دلخواه خود را روی سرور اجرا کند. برای رفع این آسیبپذیری، کد دروپال طوری تغییر داده شد که مقدار این کلیدها را بررسی و پاکسازی (sanitize) کند. |
در این حمله، پارامترهایی در قالب درخواست HTTP به وبسایت قربانی ارسال میشود که اسکریپت Shellbot را دانلود میکند. بدافزار Shellbot، از سال 2005 وجود داشته است، اما همچنان مهاجمین از آن استفاده میکنند. در این حمله از یک آسیبپذیری دیگر هم استفاده میشود که شناسه آن CVE-2018-7602 است.
|
کنترل و فرمان |
پس از دانلود، این بات با یک کانال چت irc به عنوان سرور فرمان و کنترل (C&C) ارتباط برقرار کرده و دستورات خود را از آن دریافت میکند. دستوراتی که این نمونه از بات میتوانند اجرا کنند، شامل جستجو برای آسیبپذیریهای تزریق sql و راهاندازی حملات منع سرویس توزیع شده (DDoS) است.
|
بهروزرسانی |
برای بهروزرسانی به لینک زیر مراجعه نمایید: |
https://www.drupal.org/sa-core-2018-004
|
|