Eksploitasi kerentanan Drupal yang sangat berbahaya telah dimulai setelah penerbitan kode proof-of-concept (PoC).
Kode, yang dihosting di GitHub, dibuat oleh Vitalii Rudnykh, seorang peneliti keamanan Rusia. Kode ini didasarkan pada rincian kerentanan Drupalgeddon2 yang diterbitkan oleh peneliti Check Point dan Dofinity.
Itu semua terjadi dalam beberapa jam antara pos blog Check Point, Rudnykh PoC, dan awal dari upaya eksploitasi — pertama kali ditemukan oleh perusahaan keamanan web Sucuri.
We are seeing attempts for the Drupal RCE (CVE-2018-7600) in the wild now: https://t.co/1tfpH08Ohb
Expect that to grow with the new exploits being shared publicly:https://t.co/V1C0E5hi4W
Also, good read from from CheckPoint explaining it:https://t.co/iD44ZRjOtG
Patch now!
— Daniel Cid (@danielcid) April 12, 2018
Sucuri: Belum banyak upaya eksploitasi
“Belum melihat banyak upaya, hanya beberapa dari beberapa alamat IP,” Daniel Cid, VP Engineering di GoDaddy dan CTO/Pendiri Sucuri mengatakan kepada kami dalam percakapan pribadi.
Cid mengatakan kepada kami bahwa sebagian besar upaya eksploitasi adalah “berdasarkan pada PoC yang dibagikan di GitHub,” tetapi para penyerang lainnya juga mungkin bekerja dengan kode mereka sendiri.
Kerentanan ini (CVE-2018-7600) memungkinkan penyerang untuk menjalankan kode apa pun yang diinginkannya terhadap salah satu komponen inti CMS, yang secara efektif mengambil alih sebuah situs. Lihat penjelasan Check Point dan Dofinity di bawah ini:
“Singkatnya, Drupal tidak memiliki cukup masukan sanitasi pada formulir API (FAPI) permintaan AJAX. Akibatnya, ini memungkinkan penyerang berpotensi menginjeksikan muatan berbahaya ke dalam struktur bentuk internal. Ini akan menyebabkan Drupal menjalankannya tanpa otentikasi pengguna. Dengan mengeksploitasi kerentanan ini, penyerang akan dapat melakukan pengambilalihan situs secara penuh terhadap pelanggan Drupal.”
Tim keamanan Drupal memperbaiki kerentanan tersebut pada 28 Maret dengan perilisan Drupal 7.58 dan Drupal 8.5.1. Tim Drupal mengatakan, pihaknya memperkirakan bahwa “eksploitasi dapat dikembangkan dalam beberapa jam atau hari.”
Dibutuhkan dua minggu untuk pengeksploitasian pertama yang dipublikasikan terutama karena tim Drupal menyembunyikan banyak detail tentang kerentanan dari publik mungkin untuk menunda pembuatan PoC dan memungkinkan pemilik situs untuk memperbarui situs mereka.
Belum ada pengambil-alihan situs. Hanya banyak pengujian PoC.
Kevin Liston, seorang peneliti keamanan SANS ISC, juga telah mendeteksi upaya eksploitasi terhadap honeypots organisasinya. Perintah yang coba dijalankan oleh penyerang melalui PoC saat ini tidak berbahaya, dan tidak ada yang mencoba untuk mengambil alih server:
echo `whoami`
phpinfo()
echo 123
whoami
touch 1.html
echo "xiokv"Ini adalah instruksi yang khusus untuk penyerang yang menguji keefektifan PoC. Mempertimbangkan jumlah rendah pemindaian yang diamati Sucuri, sifat penyusup kerentanan, dan sejarah upaya eksploitasi kerentanan sebelumnya, hanya masalah waktu sebelum angka eksploitasi meledak dan penjahat mengganti instruksi ini dengan malware berbasis web atau injeksi spam SEO.
“Saya berasumsi bahwa malam ini dan besok pagi akan dimulai,” kata Cid kepada kami tentang skala dan kompleksitas upaya eksploitasi ini. “[Ini] perlombaan senjata kecil untuk melihat siapa yang bisa mendapatkan situs pertama.”
Situs berita tertangkap menggunakan PoC Drupalgeddon2
Liston telah mulai melacak beberapa sumber dari pemindaian ini. Yang dia dapat mengidentifikasi pagi ini diikat kembali ke situs berita keamanan Cina.
“Server nama otoritatif untuk ‘ceye.io’ adalah ns[12].hackernews.cc, yang tampaknya milik situs berita keamanan Cina,” kata Liston hari ini di sebuah posting forum.
“Mungkin mereka sedang mengerjakan sebuah kisah untuk mempublikasikan berapa banyak sistem rentan yang ada, tetapi eksploitasi kerentanan yang sebenarnya, meskipun agak jinak, mungkin merupakan langkah yang terlalu jauh untuk sebuah berita.”
Jika kamu menjalankan situs Drupal, ini mungkin beberapa jam terakhir kamu harus memperbaiki sebelum berada pada risiko serius kehilangan kendali atas situs.
