Lima jam setelah tim Drupal menerbitkan pembaruan keamanan untuk CMS Drupal, peretas telah menemukan kerentanan Drupal lainnya, dan secara aktif mengeksploitasinya in-the-wild.
Kerentanan ini tidak sama dengan Drupalgeddon 2 (CVE-2018-7600), masalah keamanan CMS Drupal lain yang diperbaiki bulan lalu, yang juga banyak dieksploitasi. Masalah kerentanan Drupal baru ini —yang dilacak sebagai CVE-2018-7602— baru diperbaiki pada tanggal 25 April.
Tidak seperti kasus Drupalgeddon 2, di mana para peretas mulai mengeksploitasinya setelah dua minggu, kali ini, mereka mulai mengeksploitasi CVE-2018-7602 dengan segera. Tim Keamanan Drupal melaporkan mendeteksi serangan lima jam setelah merilis patch.
The security team is aware that SA-CORE-2018-004, is being exploited in the wild. If you have not updated, please do so now. https://t.co/TVGob2IXvL
— Drupal Security (@drupalsecurity) April 25, 2018
Tim Drupal menduga CVE-2018-7602 akan menimbulkan masalah
Tim Drupal menyadari bahwa kerentanan ini bisa berakibat serius, dan mengeluarkan PSA pada hari Senin tentang patch yang akan datang.
PSA dimaksudkan untuk memperingatkan pemilik situs web terlebih dahulu karena tim Drupal menganggap ada “beberapa risiko eksploit yang mungkin dikembangkan dalam beberapa jam atau hari.”
Apa yang ditakutkan oleh tim Drupal terjadi pada akhirnya, dan peretas mulai mengeksploitasi CVE-2018-7602 dalam beberapa jam, bahkan sebelum banyak pemilik situs web memiliki kesempatan untuk memperbaiki situs mereka.
CVE-2018-7602 adalah keturunan Drupalgeddon 2
Kerentanan yang dieksploitasi adalah remote code execution (RCE) yang mempengaruhi versi Drupal 7.x dan 8.x. Kerentanan diberi skor 20 dari 25 pada skala keparahan Drupal sendiri, yang berarti dapat memberikan penyerang kontrol penuh atas situs yang diserang.
Pengembang Drupal mengatakan mereka menemukan CVE-2018-7602 saat menyelidiki kerentanan Drupalgeddon 2.
Kedua kerentanan tersebut terkait dengan bagaimana Drupal menangani karakter “#” yang digunakan dalam URL-nya, dan kurangnya sanitisasi input yang diterapkan ke parameter yang disediakan melalui karakter “#”.
https://twitter.com/_dreadlocked/status/989206562945273859
Tim Drupal merilis Drupal v7.59, v8.4.8, dan v8.5.3 untuk memperbaiki CVE-2018-7602.
Tujuh jam setelah patch, dan dua jam setelah serangan in-the-wild pertama dilaporkan, seorang pengguna bernama Blaklis juga menerbitkan kode proof-of-concept untuk CVE-2018-7602 di Pastebin.
Beberapa pengguna juga menamai kerentanan Drupal baru ini sebagai Drupalgeddon 3.
