آسیبپذیری اجرای کد از راه دور Drupalgeddon2 در سیستم مدیریت محتوای دروپال که بیش از یک سال و نیم گذشته برطرف شد، همچنان مورد سوءاستفاده مهاجمان است.
منبع : مرکز مدیریت راهبردی افتا
آسیبپذیری اجرای کد از راه دور Drupalgeddon2 در سیستم مدیریت محتوای دروپال که بیش از یک سال و نیم گذشته برطرف شد، همچنان مورد سوءاستفاده مهاجمان است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری بحرانی Drupalgeddon2 که با شناسه CVE-۲۰۱۸-۷۶۰۰ ردیابی میشود، اخیرا توسط فایلهای GIF مخرب مورد سوءاستفاده قرار گرفتهاست. این نقص امنیتی که با دسترسی از راه دور مورد بهرهبرداری قرار میگیرد، منجر به اجرای کد دلخواه و سرقت داده یا وبسایت میشود.
این آسیبپذیری نسخههای دروپال ۷,۵۸ و پایینتر، ۸.x قبل از ۸.۳.۹، ۸.۴.x قبل از ۸.۴.۶ و ۸.۵.x قبل از ۸.۵.۱ را تحتتاثیر قرار میدهد. در زمان کشف این آسیبپذیری، دروپال تخمین زد که بیش از یکمیلیون وبسایت دروپال آسیبپذیر هستند. بهرهبرداری برای Drupalgeddon2 طی چند روز توسعه یافت. بیش از یک سالونیم پیش یک وصله برای آن صادر شد و از صاحبان سایتهای دروپالی خواسته شد که به سرعت نسخههای سایت خود را به روز کنند. با این حال، به نظر میرسد همه سایتهای دروپالی این بهروزرسانی را اعمال نکردهاند. اخیرا Akamai اعلام کرده است که مهاجمین در حال بهرهبرداری از این آسیبپذیری از طریق فایلهای GIF هستند.
فایل GIF مخرب حاوی کد PHP مبهمسازی شده و بستههای نرمافزاری مخرب با کدگذاری base۶۴ است. پس از اجرای کد مخرب در دامنههای آسیبپذیر، از این باگ برای استقرار بدافزار قادر به اسکن فایل و سرقت اطلاعات احرازهویت، ارسال ایمیلهای حاوی اطلاعات به سرقت رفته به مهاجمان و جایگزینی فایلهای htaccess استفاده میشود. علاوه بر این، کد مخرب سعی در نمایش فایلهای پیکربندی MySQL my.cnf دارد. بخش دیگری از بدافزار موجود در فایل GIF، یک اسکریپت Perl است که دارای قابلیت انجام حمله انکار سرویس (DoS) و تروجان با دسترسی راه دور (RAT) است.
بهرهبرداری ساده و از راه دور اکسپلویت Drupalgeddon2 باعث میشود مهاجمان، اسکنها و حملات خود را بر روی سیستمهای بهروز نشده و قدیمی بهطور خودکار انجام دهند. بهروزرسانی و اعمال وصلههای دروپال بهطور مداوم از سوءاستفاده مهاجمان از این سیستم مدیریت محتوا جلوگیری میکند.