Вы здесь

Drupalgeddon 2? Уязвимость SA-CORE-2018-002 начала использоваться для атак

Друпалеры, минуту внимания!

CheckPoint открыто показали способ использования уязвимости SA-CORE-2018-002 / CVE-2018-7600: https://research.checkpoint.com/uncovering-drupalgeddon-2/

И боты уже активно атакуют сайты на Друпал:

  1. GET-запросом проверяется возможность атаки;
  2. POST - сама атака и пэйлоад;
  3. третий POST - проверяет загрузку вредоноса.

 SA-CORE-2018-002 exploit

Пэйлоады пока однообразны:

 GET / POST

Пока всё только начинается, обратите внимание на запросы вида:
account/mail/%23value (account/mail/#value)
timezone/timezone/%23value (timezone/timezonel/#value)

Хакеры ещё не успели развернуться и боты пока работают на Python. Отсеивать нерадивых взломщиков можно по user agent:
80.209.253.51 - - [13/Apr/2018:04:59:33 -0400] "POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1" 403 14 "-" "Python-urllib/2.7"

Как временное (!) решение можете добавить в .htaccess следующие правила, но это лишь до появления новых способов атаки:
RewriteEngine On
RewriteCond %{QUERY_STRING} account/mail/%23value [NC,OR]
RewriteCond %{QUERY_STRING} account/mail/#value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/%23value [NC,OR]
RewriteCond %{QUERY_STRING} timezone/timezone/#value [NC]
RewriteRule .* - [L]

Радикальный подход - заменить сайт на статические HTML-файлы.

Обновляйтесь и максимально оперативно. Уже есть патч даже для Drupal 6 LTS: https://www.drupal.org/project/d6lts/issues/2955130

1
0
14.04.2018 - 13:55