Chỉ vài giờ sau khi nhóm Drupal phát hành các bản cập nhật mới nhất để sửa một lỗ hổng thực thi mã từ xa mới trong phần mềm hệ thống quản lý nội dung của hãng, thì tin tặc đã bắt đầu tiến hành khai thác lỗ hổng mới của Drupal.
Được công bố ngày hôm qua, lỗ hổng mới (CVE-2018-7602) gây ảnh hưởng đến lõi Drupal 7 và 8, đồng thời cho phép kẻ tấn công từ xa đạt được chính xác những gì lỗ hổng Drupalgeddon2 (CVE-2018-7600) đã được phát hiện trước đó cho phép – hoàn toàn chiếm quyền kiểm soát các trang dẽ bị tổn thương.
Mặc dù nhóm Drupal đã không phát hành bất kỳ chi tiết kỹ thuật nào về lỗ hổng để có thể ngăn chặn việc khai thác ngay lập tức, nhưng hai tin tặc riêng biệt đã tiết lộ một số chi tiết, cùng với khai thác PoC chỉ vài giờ sau khi Drupal phát hành bản vá.
Nếu bạn đã chủ động đọc mọi câu chuyện mới nhất trên Securitydaily, thì bạn phải biết việc phát hành khai thác PoC của Drupalgeddon2 đã thu hút nhiều sự chú ý như thế nào. Cuối cùng dẫn đến việc cho phép kẻ tấn công chủ động chiếm đoạt trang web, phát tán malware đào tiền ảo, backdoors và các phần mềm độc hại khác trên máy tính nạn nhân.
Nhóm Drupal cảnh báo rằng lỗ hổng thực thi mã từ xa mới hiện đang được khai thác bởi các tin tặc, dẫn đến việc hàng triệu trang web trở thành các đối tượng dễ bị tấn công.
Trong bài viết này, tôi sẽ giới thiệu tóm tắt về lỗ hổng mới của Drupal và cách những kẻ tấn công khai thác nó để hack các trang web đang chạy các phiên bản chưa được vá của Drupal.
Quá trình khai thác lỗ hổng Drupalgeddon3 tương tự như Drupalgeddon2, ngoại trừ nó đòi hỏi một payload hơi khác để lừa các trang web dễ bị tấn công trong việc thực thi payload độc hại trên máy chủ của nạn nhân.
Drupalgeddon3 xuất hiện do xác thực đầu vào không chính xác trong Form API, hay còn được gọi là ” renderable arrays”. Form API hiển thị siêu dữ liệu để xuất cấu trúc của hầu hết các phần tử giao diện người dùng (giao diện người dùng) trong Drupal. Renderable arrays là cấu trúc cốt lõi trong đó các khóa thuộc tính bắt đầu bằng hash sign (#).
Người dùng Twitter có tên @_dreadlocked giải thích rằng lỗ hổng mới của Drupal trong Form API có thể được kích hoạt thông qua tham số GET “điểm đến” của URL tải khi người dùng đã đăng ký bắt đầu yêu cầu xóa node; trong đó, “node” là bất kỳ phần nội dung riêng lẻ nào, chẳng hạn như trang, bài viết, chủ đề diễn đàn hoặc bài đăng.
Do tham số truy vấn GET “điểm đến” cũng chấp nhận một URL khác (như một giá trị) với các tham số GET của riêng nó mà có giá trị không được sanitize. Điều đó cho phép kẻ tấn công xác thực lừa các trang web thực thi mã.
Những gì tôi đã hiểu được từ khai thác PoC được phát hành bởi một người dùng Twitter khác, có tên @Blaklis_, là các giá trị chưa được chuẩn hóa có thể được thông qua mặc dù stripDangerousValues() có chức năng lọc ký tự “#” và có thể bị lạm dụng bằng cách mã hóa ký tự “#” trong biểu mẫu của “% 2523”.
Chức năng này giải mã “% 2523” thành “% 23”, là phiên bản Unicode cho “#” và sẽ được xử lý để chạy mã tùy ý trên hệ thống, chẳng hạn như tiện ích whoami.
Ban đầu, các nhà phát triển Drupal hoài nghi về khả năng tấn công thực sự bằng cách sử dụng lỗ hổng Drupalgeddon3, nhưng sau khi các báo cáo về các cuộc tấn công thực tế xuất hiện, Drupal đã nâng mức độ nguy hiểm của vấn đề lên “Rất quan trọng”.
Vì vậy tất cả các quản trị viên trang web Drupal đều được khuyến khích cập nhật trang web của họ lên phiên bản phần mềm mới nhất sớm nhất có thể.