Drupal – wysoce krytyczna podatność, przejęcie witryny bez uwierzytelnienia (SA-CORE-2018-002)

Drupal – wysoce krytyczna podatność, przejęcie witryny bez uwierzytelnienia (SA-CORE-2018-002)

Zespół ds. bezpieczeństwa popularnego systemu zarzadzania treścią Drupal opublikował przed chwilą informację o krytycznej podatności umożliwiającej przejęcie kontroli nad witryną bez żadnego uwierzytelniania! Sprawdź czy problem tyczy też twojej witryny i załataj ją nim będzie za późno.

 

Luka o oznaczeniu CVE: CVE-2018-7600 oraz wewnętrznym SA-CORE-2018-002 umożliwiająca zdalne wykonanie kodu występuje w wielu plikach CMS-a Drupal 7.x i 8.x. To potencjalnie umożliwia atakującym wykorzystanie wielu wektorów ataków na stronie Drupala, co może doprowadzić do całkowitego unieruchomienia witryny, wysyłki spamu z konta itp.

Zespół opublikował też odpowiedzi na najczęściej zadawane pytania:

Ile witryn prawdopodobnie zostanie dotkniętych?
Dotyczy to stron Drupal 8, 7 i 6. Zgodnie z informacją o wykorzystaniu projektu Drupal stanowi to ponad milion witryn lub około 9% witryn, które działają zgodnie ze standardem CMS według Builtwith .

Jak niebezpieczny jest ten problem?
Doradcy bezpieczeństwa Drupal uwzględniają ocenę ryzyka w oparciu o system punktowy NIST Common Misuse Scoring. Pomaga to obiektywnie określić ryzyko różnych problemów. Ryzyko SA-CORE-2018-002 jest oceniane 21/25 (wysoce krytyczne)

W długiej formie oznacza to:

  1. Jak trudne jest dla atakującego wykorzystanie luki?
    Bardzo łatwe  – wystarczy odwiedzić stronę i wykorzystać podatność
  2. Jaki poziom uprzywilejowania jest wymagany, aby wykorzystać lukę?
    Żaden – każdy posiadający exploita może go wykorzystać bez posiadania żadnego dostępu do strony/serwera.
  3. Czy ta luka powoduje, że dane niepubliczne są dostępne?
    Tak, wszystkie dane niepubliczne są dostępne dla atakującego.
  4. Czy ten exploit pozwala na złamanie danych w systemie CMS, lub danych obsługiwanych przez CMS-a?
    Tak, mając pełen dostęp do witryny/skryptu wszystkie dane można modyfikować lub usuwać .
  5. Czy istnieje znany exploit który  już wykorzystuje tą podatność?
    Obecnie nic nie wiadomo o istnieniu exploita który wykorzystuję tą podatność, jednak jest to tylko kwestia czasu.
  6. Jaki procent użytkowników jest dotknięty?
    Domyślne lub wspólne konfiguracje modułów są możliwe do wykorzystania, ale zmiana konfiguracji może wyłączyć exploit. Chociaż zmiana konfiguracji może teoretycznie złagodzić problem, musi to być drastyczna zmiana konfiguracji. Zespół ds. Bezpieczeństwa zdecydowanie zaleca,aby najlepszym rozwiązaniem było uaktualnianie witryn.

Kto znalazł ten problem?
Problem został zidentyfikowany przez Jaspera Mattssona (Jasu_M) w ramach ogólnych badań nad bezpieczeństwem Drupala. Jasper pracuje dla Druida, który zapewnia różnorodne usługi, w tym audyty bezpieczeństwa witryn Drupal.

Z biegiem lat, kwestie bezpieczeństwa w Drupal zostały zweryfikowane na wiele sposobów, w tym przez badaczy z osobistą motywacją i poprzez płatne testy penetracyjne lub audyty bezpieczeństwa. Właściciele witryn Drupal zaniepokojeni bezpieczeństwem są zachęcani do zatrudniania zewnętrznych zespołów ds. bezpieczeństwa do przeglądania ich kodu.

Co może zrobić osoba atakująca w przypadku podatnej witryny?
Udane wykorzystanie luki może mieć dramatyczny wpływ na witrynę – od jej unieruchomienia, poprzez wykradnięcie wszystkich danych, infekcję malware,wirusami oraz wysyłkę spamu.

Czy problem jest wykorzystywany?
Zgodnie z naszą wiedzą problem ten nie jest obecnie wykorzystywany. Będziemy aktualizować ten FAQ, jeśli to się zmieni. Biorąc pod uwagę naturę luki w zabezpieczeniach, właściciele witryn powinni przewidzieć, że exploity mogą zostać opracowane i dlatego powinny natychmiast zaktualizować swoje witryny.

Moja witryna została zhakowana, co mam teraz zrobić?
Niezależnie od tego, czy została zhakowana wykorzystując ten problem, czy wcześniejszy problem, istnieje ogólny przewodnik po witrynach “zhakowanych” który zaleca:

  • Zlokalizowanie i usunięcie zainfekowanych plików
  • Aktualizacje skryptu do najnowszej wersji
  • Wykonanie kompleksowego audytu bezpieczeństwa serwisu

Zarządzam stroną Drupal 6, czy dostępna jest poprawka?
Tak, dotyczy to również Drupala 6, a projekt wsparcia długoterminowego Drupal 6 ma dostępne łatki.

Jakie inne środki bezpieczeństwa mogę wprowadzić, aby poprawić bezpieczeństwo mojej strony.
Kilka ogólnych sugestii to:

  • Przegląd zabezpieczeń, który szuka słabych konfiguracji.
  • 2 Factor Auth, aby poprawić bezpieczeństwo logowania.
  • wymuszenie minimalnej siły hasła, która pomaga wymuszać silniejsze hasła dla administratorów i uzytkowników.

Zarządzam witryną Drupal 8.0 / 8.1 / 8.2, czy dostępna jest poprawka?
Poprzednie drobne wersje Drupala 8 nie są obsługiwane. Jeśli Twoja witryna jest obecnie w wersji Drupal przed wersją 8.3.8, istnieją inne ujawnione luki w zabezpieczeniach, które mogą wpłynąć na twoją witrynę. Z tego powodu powinieneś natychmiast zaktualizować skrypt do wersji Drupal 8.3.9 lub 8.4.6, a następnie zaplanować aktualizację do wersji Drupal 8.5.1 lub nowszej w ciągu następnego miesiąca.

Nie mogę zaktualizować mojej witryny, co mogę zrobić, aby złagodzić problem?
Istnieje kilka rozwiązań, ale wszystkie opierają się na idei nie serwowania odwiedzającym wrażliwych stron Drupal. Tymczasowe zastąpienie witryny Drupal statyczną stroną HTML jest skutecznym działaniem zapobiegawczym. W przypadku witryn testowych lub deweloperskich można wyłączyć witrynę lub włączyć dostęp do katalogu z witryną na hasło, aby uniemożliwić dostęp do witryny.

Link do orginalnego wpisu nas tronie wydawcy : https://www.drupal.org/sa-core-2018-002

Drupal – wysoce krytyczna podatność, przejęcie witryny bez uwierzytelnienia (SA-CORE-2018-002)
4.9 (97.96%) 49 głosy[głosów]

Tagi: , ,