Критичні уразливості в Drupal: подробиці і експлоїти

image

Команда безпеки проекту Drupal опублікувала виправлення для цілого ряду критичних вразливостей. Помилки безпеки зачіпають як популярні плагіни, так і ядро системи.

Уразливості виявлені в модулях RESTful Web Services (використовується для надання REST API функцій Drupal), Coder (модуль аналізу коду та міграції для старих версій) і Webform Multiple File Upload (додає компонент форми для завантаження файлів користувача). В ядрі виправлена уразливість httpoxy, про яку ми вже писали в блозі.

Згідно бюлетеню безпеки PSA-2016-001 уразливості зачіпають до 10000 сайтів, на яких встановлені зазначені модулі. Бюлетень PSA-2016-002 підтверджує наявність уразливості httpoxy у восьмий гілці Drupal, де використовується стороння бібліотека Guzzle для здійснення HTTP-запитів, при цьому більш ранні версії Drupal 7.x не схильні даної уразливості.

У мережі вже опубліковані експлоїти, використовують дані уразливості. У нашому сьогоднішньому матеріалі — їх більш докладний опис.

Подробиці

Згідно з даними Drupal Security Team модуль REST API під назвою RESTful Web Services використовується на 5804 сайтах. Уразливість можлива з-за недостатньої фільтрації вхідних даних перед використанням функції
call_user_func_array()
. Зловмисники можуть використовувати уразливість для виконання довільного PHP-коду, відправивши спеціальний запит. Уразливі версії модуля до 7.x-2.6 і 7.x-1.7. Експлоїт вже включений до складу Metasploit Framework.



Модуль для аналізу та міграції старого коду Coder згідно з офіційною статистикою встановлено на 4951 сайті. Уразливість можлива через відсутність перевірки привілеїв користувача в скрипті, який здійснює оновлення старих модулів Drupal. На вхід скрипт приймає ім'я файлу з налаштуваннями оновлення, які потрапляють в функцію
unserialize()
:

<?php
$parameters = unserialize(file_get_contents($path));

У атакуючого є можливість вказати замість імені файлу саму структуру за допомогою PHP-враппера data://. Значення одного з параметрів використовується без екранування у функції
shell_exec()
:

<?php
shell_exec("diff -up -r {$old_dir} {$new_dir} > {$patch_filename}");

Таким чином, уразливість дозволяє впровадити і виконати будь-яку команду в системі:



Уразливі версії модуля до 7.x-2.6 і 7.x-1.3. Особливістю уразливості є той факт, що для експлуатації модуль необов'язково повинен бути включений, потрібно лише, щоб він був присутній в папці з модулями. Експлоїт для цієї уразливості також нещодавно увійшов до складу Metasploit Framework.

Модуль Webform Multiple File Upload додає в систему компонент для завантаження файлів користувача. Згідно зі статистикою на сторінці модуля, його використовують 3076 веб-ресурсів. Виявлена уразливість дозволяє виконати PHP Object Injection — десеріалізацію PHP-об'єкта, що надходить від користувача. В результаті у атакуючого є можливість сформувати об'єкт, який викликає деструктор будь-якого класу, а також проексплуатувати уразливості в функції unserialize(). Ступінь загрози уразливості оцінюється як Критичний (максимально небезпечним рівнем є Highly Critical), так як в системі є лише один корисний для атакуючого деструктор, який дозволяє видалити будь-який файл. Уразливі версії Webform Multiple File Upload до 7.x-1.4.

До чого можуть призводити уразливості в Drupal

Незважаючи на те, що описані уразливості зачіпають далеко не всі сайти, які працюють на Drupal, наслідки їх експлуатації все одно можуть бути значними, оскільки цю CMS використовують багато організації по всьому світу.

Наприклад, однією з них була стала знаменитою на весь світ в ході «Панамського справи» компанія Mossac Fonseca — її сайт працював на Drupal і, ймовірно, був зламаний через уразливість системи, що одержала назву Drupalgeddon. Саме факт злому міг сприяти витоку конфіденційних документів про те, як знаменитості і політики зі всього світу використовують офшори.

Як захиститися

Експерти Positive Technologies рекомендують користувачам корпоративних ІТ-систем застосовувати спеціалізовані засоби захисту, що дозволяють боротися з сучасними уразливими. Приміром, самонавчальний захисний екран рівня додатків PT Application Firewall вже зараз в змозі блокувати атаки з їх використанням.


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.