Кураторы проекта Drupal выпустили патчи для очень опасной уязвимости, о которой веб-разработчиков предупредили на прошлой неделе. Согласно бюллетеню, эта брешь удаленного выполнения кода содержится во многих подсистемах Drupal 7.x и 8.x, а значит, у злоумышленника есть широкий выбор векторов атаки и возможность полностью скомпрометировать сайт.

Данной уязвимости присвоен идентификатор CVE-2018-7600; по степени серьезности она оценена в 21 балл из 25 возможных по собственной шкале разработчиков.

Как отмечено в разделе FAQ на сайте безопасников Drupal, использование этой бреши не требует регистрации или аутентификации на сайте, автор атаки просто должен зайти на страницу. В результате эксплойта можно получить доступ к любой закрытой информации, а также изменить или удалить системные данные (или данные, обработанные системой).

Сведений об использовании CVE-2018-7600 в реальных атаках на настоящий момент нет, однако можно ожидать, что после публикации эксплойты появятся в ближайшие дни или даже часы. Предыдущий Drupalgeddon, как называют такие уязвимости в Drupal-сообществе, — чреватую SQL-инъекцией CVE-2014-3704 в 25 баллов, объявившуюся в 2014 году, — злоумышленники поставили на конвейер в считаные часы после выхода патча.

Заплатки для нового «Друпалгеддона» включены в состав выпусков Drupal 7.58 и Drupal 8.5.1, апдейт рекомендуется произвести незамедлительно. Если такая возможность отсутствует, можно воспользоваться исправлением, которое выпущено и для Drupal 7.x, и для Drupal 8.5.x, но для полноты защиты все равно необходимо обновление.

Как и было обещано, снятые с поддержки Drupal 8.3.x и 8.4.x тоже получили обновления — 8.3.9 и 8.4.6, а также отдельные патчи. Пользователям этих CMS рекомендуется в дальнейшем произвести апгрейд. Если сайт использует Drupal 8.2.x или ниже, его следует перевести на более новую версию, а затем установить патч.

Новоявленная проблема свойственна также Drupal 6, срок поддержки которой истек в феврале 2016 года. Пользователям этой версии CMS следует обратиться к вендору, являющемуся участником программы долгосрочной поддержки (D6LTS). Ссылка на один из таких неофициальных патчей приведена в сообщении The Register.

Если патчинг по какой-то причине откладывается, эксплойт теоретически можно предотвратить сменой конфигурации — уязвимы лишь модули с дефолтными или общеупотребительными настройками. Однако это должно быть кардинальное изменение.

Можно также временно заменить уязвимый сайт Drupal статической HTML-страницей, чтобы оградить его от посетителей, имеющих недобрые намерения. Но лучше всего сразу установить полноценный патч, как это сделали сами разработчики Drupal, отключив на полчаса свою домашнюю страницу.

Согласно статистике Drupal.org, в настоящее время эту CMS-систему используют более 1 млн сайтов в Интернете. Тотальный патчинг при такой аудитории невозможно осуществить в сжатые сроки, однако Drupalgeddon 2 — угроза более чем серьезная, поэтому разработчики сочли нужным загодя подготовить почву для обновления.

Категории: Кибероборона, Уязвимости