orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

Drupalの脆弱性を悪用可能な実証コードは怖いくらい簡単だった

f:id:orangeitems:20180414083300j:plain

 

攻撃用のコードが公開

以前記事にしましたCMSのDrupalの深刻な脆弱性について、実証コードが公開されたという件を聞きました。

japan.zdnet.com

オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。

スポンサーリンク
 

 

あまりにもシンプルに成立する攻撃

コードはここにあります。

github.com

 

 

このexploit.pyのソースを見ていただければ、そのシンプルさに愕然とされるのではないかと思います。

target = input('http://ドメイン名/')

url = target + 'user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'

payload = {'form_id': 'user_register_form', '_drupal_ajax': '1', 'mail[#post_render][]': 'exec', 'mail[#type]': 'markup', 'mail[#markup]': 'echo ";-)" | tee hello.txt'}

 この3行で攻撃が成立してしまうわけですね。上記では ;ー) という文字列をhello.txtに書き込み、これをドキュメントルートに置いています。

ドキュメントルートのindexページを書き換えたり、phpファイルを生成させてデータベースの情報を抜いたり、シェルを実行してデータを削除したり・・、仮想通貨のマイニングをさせたり、ありとあらゆることが可能なコードのように思えます。

 

攻撃はもう具体的に報告されている

アメリカの情報セキュリティ専門の組織SANS ISC InfoSecのフォーラムに、すでに攻撃を検知しているという投稿が寄せられています。

Drupal CVE-2018-7600 PoC is Public - SANS Internet Storm Center

内容として、仮想通貨のマイニングスクリプトを仕込みcronで定期実行させるとのこと。最近よくある攻撃のように思います。

 

パッチ未適用のDrupalサイトには早急に対応

大きな事故が発生しないよう、少なくともDrupalを利用している管理者の方は、パッチ適用をすぐにでも行っていただきたいと思います。

パッチは下記にあります。

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002 | Drupal.org

また、攻撃がすでに行われた可能性もありますので、アクセスログの確認をお願いします。SANSのサイトにて、攻撃された場合のログが公開されています。

 

追記

追加のFIXが2018/4/25に出るとのこと。

www.drupal.org

次は何が出てくることやら。