攻撃用のコードが公開
以前記事にしましたCMSのDrupalの深刻な脆弱性について、実証コードが公開されたという件を聞きました。
オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。
あまりにもシンプルに成立する攻撃
コードはここにあります。
このexploit.pyのソースを見ていただければ、そのシンプルさに愕然とされるのではないかと思います。
target = input('http://ドメイン名/')
url = target + 'user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'
payload = {'form_id': 'user_register_form', '_drupal_ajax': '1', 'mail[#post_render][]': 'exec', 'mail[#type]': 'markup', 'mail[#markup]': 'echo ";-)" | tee hello.txt'}
この3行で攻撃が成立してしまうわけですね。上記では ;ー) という文字列をhello.txtに書き込み、これをドキュメントルートに置いています。
ドキュメントルートのindexページを書き換えたり、phpファイルを生成させてデータベースの情報を抜いたり、シェルを実行してデータを削除したり・・、仮想通貨のマイニングをさせたり、ありとあらゆることが可能なコードのように思えます。
攻撃はもう具体的に報告されている
アメリカの情報セキュリティ専門の組織SANS ISC InfoSecのフォーラムに、すでに攻撃を検知しているという投稿が寄せられています。
Drupal CVE-2018-7600 PoC is Public - SANS Internet Storm Center
内容として、仮想通貨のマイニングスクリプトを仕込みcronで定期実行させるとのこと。最近よくある攻撃のように思います。
パッチ未適用のDrupalサイトには早急に対応
大きな事故が発生しないよう、少なくともDrupalを利用している管理者の方は、パッチ適用をすぐにでも行っていただきたいと思います。
パッチは下記にあります。
Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002 | Drupal.org
また、攻撃がすでに行われた可能性もありますので、アクセスログの確認をお願いします。SANSのサイトにて、攻撃された場合のログが公開されています。
追記
追加のFIXが2018/4/25に出るとのこと。
次は何が出てくることやら。