Release of PoC Exploit for New Drupal Flaw Once Again Puts Sites Under Attack
لإصلاح خطأ جديد في تنفيذ التعليمات البرمجية عن بعد في برنامج نظام إدارة المحتوى الخاص به ، بدأ المتسللون بالفعل في استغلال الضعف في البرية.
تم الإعلان يوم أمس عن أن الثغرة المكتشفة حديثًا ( CVE-2018-7602 ) تؤثر على دروبال 7 و 8 النواة ، وتسمح للمهاجمين عن بعد بتحقيق نفسالعيوب التي تم اكتشافها سابقا ، والتي تم اكتشافها من قبل ، والتي يمكن اكتشافها من قبل ، أو الاستيلاء الكامل على المواقع المتأثرة.
على الرغم من أن فريق دروبال لم ينشر أي تفاصيل تقنية عن الضعف لمنع الاستغلال الفوري ، إلا أن اثنين من المتسللين الفرديين كشفا عن بعض التفاصيل ، بالإضافة إلى استغلال إثبات الفكرة بعد بضع ساعات فقط من إطلاق الرقعة.
إذا كنت تقرأ بفعالية كل قصة أخيرة في The Hacker News ، فيجب أن تكون على دراية بكيفية استحالة إصدار DRupalgeddon2 PoC exploit الكثير من الاهتمام ، والذي سمح في النهاية للمهاجمين باختطاف مواقع الويب بنشاط ونشر عمال التعدين المعدنين و backdoors والبرامج الضارة الأخرى.
كما كان متوقعًا ، حذر فريق دروبال من أن عيب تنفيذ التعليمات البرمجية عن بُعد الجديد ، دعنا نحيله إلى Drupalgeddon3 ، يجري الآن استغلاله بفعالية في البرية ، مما يترك الملايين من مواقع الويب عرضة للقراصنة.
في هذا المقال ، أطلعت على ما يعنيه هذا الخلل الجديد وكيف أن المهاجمين قد استغلوه لاختراق المواقع الإلكترونية التي تشغل نسخًا غير مرغوب فيها من دروبال.
تشبه عملية استغلال عيب Drupalgeddon3 إلى حد ما Drupalgeddon2 ، إلا أنها تتطلب حملاً مختلفًا قليلاً لخداع المواقع الضعيفة في تنفيذ الحمولة الضارة على خادم الضحية.
يكمن Drupalgeddon3 بسبب التحقق من صحة الإدخال غير الصحيح في نموذج API ، والمعروف أيضًا باسم "صفائف قابلة للتجميع" ، والذي يعرض البيانات الوصفية لإخراج بنية معظم عناصر واجهة المستخدم (واجهة المستخدم) في دروبال. هذه الصفائف القابلة للعرض هي بنية قيمة رئيسية تبدأ فيها مفاتيح الخصائص بعلامة تجزئة (#). مستخدم تويتر مع مقبض_dreadlocked
يوضح أن الخلل في Form API يمكن أن يتم تشغيله من خلال معلمة GET "الوجهة" لعنوان URL الذي يتم تحميله عندما يقوم مستخدم مسجل ببدء طلب لحذف عقدة ؛ حيث تمثل "عقدة" أي جزء من المحتوى الفردي ، مثل الصفحة أو المقالة أو موضوع المنتدى أو النشر.
ونظرًا لأن معلمة طلب GET "الوجهة" هذه تقبل أيضًا عنوان URL آخر (كقيمة) بمعلمات GET الخاصة بها ، والتي لم يتم تطهير قيمها ، فقد أتاحت لمهاجم مصادقًا خداع مواقع ويب لتنفيذ الشفرة.
ما فهمته من استغلال موقع PoC الذي نشره مستخدم آخر على Twitter ، باستخدام مقبض Blaklis_ ، هو أن القيم غير الممنوحة تمر من خلال الدالة stripDangerousValues () التي تقوم بتصفية الحرف "#" ويمكن إساءة استخدامها بتشفير "#"
تقوم الدالة بترميز "٪ 2523" إلى "٪ 23" ، وهو إصدار Unicode لـ "#" وسيتم معالجتها لتشغيل تعليمات برمجية عشوائية على النظام ، مثل أداة whoami.
في البداية ، كان مطورو دروبال متشككين بشأن إمكانية وقوع هجمات حقيقية باستخدام ثغرة دروبالجدون 3 ، ولكن بعد ظهور التقارير عن الهجمات البرية ، رفع دروبال مستوى خطورة المشكلة إلى "درجة عالية من الأهمية".
لذلك ، ينصح بشدة جميع مسؤولي موقع دروبال بتحديث مواقعهم الإلكترونية إلى أحدث إصدارات البرنامج بأسرع وقت ممكن.
تم الإعلان يوم أمس عن أن الثغرة المكتشفة حديثًا ( CVE-2018-7602 ) تؤثر على دروبال 7 و 8 النواة ، وتسمح للمهاجمين عن بعد بتحقيق نفسالعيوب التي تم اكتشافها سابقا ، والتي تم اكتشافها من قبل ، والتي يمكن اكتشافها من قبل ، أو الاستيلاء الكامل على المواقع المتأثرة.
على الرغم من أن فريق دروبال لم ينشر أي تفاصيل تقنية عن الضعف لمنع الاستغلال الفوري ، إلا أن اثنين من المتسللين الفرديين كشفا عن بعض التفاصيل ، بالإضافة إلى استغلال إثبات الفكرة بعد بضع ساعات فقط من إطلاق الرقعة.
إذا كنت تقرأ بفعالية كل قصة أخيرة في The Hacker News ، فيجب أن تكون على دراية بكيفية استحالة إصدار DRupalgeddon2 PoC exploit الكثير من الاهتمام ، والذي سمح في النهاية للمهاجمين باختطاف مواقع الويب بنشاط ونشر عمال التعدين المعدنين و backdoors والبرامج الضارة الأخرى.
كما كان متوقعًا ، حذر فريق دروبال من أن عيب تنفيذ التعليمات البرمجية عن بُعد الجديد ، دعنا نحيله إلى Drupalgeddon3 ، يجري الآن استغلاله بفعالية في البرية ، مما يترك الملايين من مواقع الويب عرضة للقراصنة.
في هذا المقال ، أطلعت على ما يعنيه هذا الخلل الجديد وكيف أن المهاجمين قد استغلوه لاختراق المواقع الإلكترونية التي تشغل نسخًا غير مرغوب فيها من دروبال.
تشبه عملية استغلال عيب Drupalgeddon3 إلى حد ما Drupalgeddon2 ، إلا أنها تتطلب حملاً مختلفًا قليلاً لخداع المواقع الضعيفة في تنفيذ الحمولة الضارة على خادم الضحية.
يكمن Drupalgeddon3 بسبب التحقق من صحة الإدخال غير الصحيح في نموذج API ، والمعروف أيضًا باسم "صفائف قابلة للتجميع" ، والذي يعرض البيانات الوصفية لإخراج بنية معظم عناصر واجهة المستخدم (واجهة المستخدم) في دروبال. هذه الصفائف القابلة للعرض هي بنية قيمة رئيسية تبدأ فيها مفاتيح الخصائص بعلامة تجزئة (#). مستخدم تويتر مع مقبض_dreadlocked
يوضح أن الخلل في Form API يمكن أن يتم تشغيله من خلال معلمة GET "الوجهة" لعنوان URL الذي يتم تحميله عندما يقوم مستخدم مسجل ببدء طلب لحذف عقدة ؛ حيث تمثل "عقدة" أي جزء من المحتوى الفردي ، مثل الصفحة أو المقالة أو موضوع المنتدى أو النشر.
ونظرًا لأن معلمة طلب GET "الوجهة" هذه تقبل أيضًا عنوان URL آخر (كقيمة) بمعلمات GET الخاصة بها ، والتي لم يتم تطهير قيمها ، فقد أتاحت لمهاجم مصادقًا خداع مواقع ويب لتنفيذ الشفرة.
ما فهمته من استغلال موقع PoC الذي نشره مستخدم آخر على Twitter ، باستخدام مقبض Blaklis_ ، هو أن القيم غير الممنوحة تمر من خلال الدالة stripDangerousValues () التي تقوم بتصفية الحرف "#" ويمكن إساءة استخدامها بتشفير "#"
تقوم الدالة بترميز "٪ 2523" إلى "٪ 23" ، وهو إصدار Unicode لـ "#" وسيتم معالجتها لتشغيل تعليمات برمجية عشوائية على النظام ، مثل أداة whoami.
في البداية ، كان مطورو دروبال متشككين بشأن إمكانية وقوع هجمات حقيقية باستخدام ثغرة دروبالجدون 3 ، ولكن بعد ظهور التقارير عن الهجمات البرية ، رفع دروبال مستوى خطورة المشكلة إلى "درجة عالية من الأهمية".
لذلك ، ينصح بشدة جميع مسؤولي موقع دروبال بتحديث مواقعهم الإلكترونية إلى أحدث إصدارات البرنامج بأسرع وقت ممكن.
تعليقات