هکرها شروع به سو استفاده از Drupal RCE Exploit که به‌تازگی منتشرشده کرده‌اند

https://startupforum.ir/images/cdn/2018/04/233.png



مدت کوتاهی پس از انتشار عمومی کدهای بهره‌برداری دروپال هکرها شروع به سوءاستفاده از نقاط ضعف این روش که اخیراً افشاشده است کرده‌اند.


دو هفته پیش، گروه امنیتی دروپال، در نرم‌افزار سیستم مدیریت محتوای ارائه‌شده، یک‌راه نفوذ بسیار مهم به کدهای ارسالی از راه دور این روش را کشف کرده که Drupalgeddon2 نامیده می‌شود، و می‌تواند مانع از دسترسی کامل مهاجمین و هکرها به وب سایت‌های آسیب‌پذیر شود.

https://startupforum.ir/images/cdn/2018/04/33.jpeg

برای رفع این آسیب‌پذیری شرکت بلافاصله نسخه‌های به‌روز شده از دروپال CMS را منتشر کرد بدون اینکه هرگونه جزئیاتی از نقاط ضعف و فنی آسیب‌پذیر این نسخه را منتشر کند، این نسخه بیش از یک‌میلیون وب‌سایت را جهت بررسی و برطرف کردن نقاط ضعفشان تحت پوشش قرار داده است.


دو روز پیش، محققان امنیتی در بررسی نقاط ضعف این نسخه از دروپال، جزییات فنی کاملی را در مورد این آسیب‌پذیری منتشر کردند (PoC ۲۰۱۸ – ۷۶۰۰)، که با استفاده از آن‌یکی از محققین امنیتی روسیه یک‌راه نفوذ و هک شدن را برای Drupalgeddon2 در GitHub منتشر کرد.

آسیب‌پذیری Drupalgeddon2 که بر تمام نسخه‌های دروپال از نسخه 6 تا 8 تأثیر می‌گذارد
و به هکرها و مهاجمان ناشناس اجازه اجرای کدهای مخرب و نصب و راه‌اندازی بدافزارها به‌صورت مشترک با دروپال را می‌دهد.

https://startupforum.ir/images/cdn/2018/04/234.png

با توجه به افشاگری‌های بازرسان امنیتی، این آسیب‌پذیری و نفوذ بدافزارها به علت عدم وجود نظارت کافی بر اطلاعات ورودی از طریق فرم‌های درخواست API AIAX (API FAPI) انتقال می‌یابند

"به‌این‌ترتیب، این معضل مهاجم را قادر می‌سازد تا کدهای مخرب یک‌بارمصرف خود را به‌طور بالقوه به ساختار فرم ورودی اطلاعات داخلی تزریق کند که این فرآیند باعث می‌شود که دروپال بدون احراز هویت کاربر کد و درخواست‌های وی را اجرا کند."

" یک مهاجم قادر است با بهره‌برداری از این آسیب‌پذیری و راه نفوذ، یک سایت کامل از مشتری‌های دروپال را در اختیار گیرد."

بااین‌حال، اندکی پس از انتشار عمومی اخبار سو استفاده PoC، که تأکید بسیاری بر مخرب بودنشان شد ، محققان در Sucuri، Imperva، و مرکز طوفان اینترنتی SANS شروع به مشاهده تلاش‌های کاربران برای بهره‌برداری از 2Drupalgeddonکردند ، هرچند که هیچ‌یک از گزارش‌ها مبنی بر هک شدن وب سایت‌ها را مشاهده نشده است.

مدیران سایت‌ها همچنان نسخه‌های آسیب‌پذیری دروپال را اجرا می‌کنند و می‌توانند آسیب‌پذیری وب‌سایت‌ها را با به‌روزرسانی سیستم مدیریت محتوا خود به دروپال 7.58 یا دروپال 8.5.1 در اسرع وقت برای جلوگیری از سوءاستفاده‌ها و حمله‌های مهاجمان توصیه کنند لذا ارتقاء به نسخه بالاتر دروپال یک امر ضروری است.

این آسیب‌پذیری نیز بر دروپال 6 تأثیر گذاشته، که از ماه فوریه سال 2016 توسط شرکت صادرکننده پشتیبانی نمی‌شود، اما مسیر و لینک به‌روزرسانی برای این نسخه در دسترس کاربران است تا بتوانند خود را آپدیت کنند.

ترجمه : حسین موالی
منبع:
هکر نیوز


https://www.cyberpolice.ir/news/123321