Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

「Drupalgeddon2」の最近の動向

人気の高いコンテンツ管理システムであるDrupalは、(おそらく)これまで良い日々を過ごしてきました。しかし最近、厄介なリモートコード実行(RCE)の脆弱性に関して注目されています。特に、7.xおよび8.xファミリのDrupalバージョンのビルドでは、認証されていないRCEが完全なシステム侵害につながる可能性があります。

Drupal はセキュリティ勧告(SA-CORE-2018-002 / CVE-2018-7600)と、この脆弱性に対する パッチを公開しました。まだアップグレードしていないユーザーは、数週間前にエクスプロイト (脆弱性を利用した攻撃手法)が公開されたので、アップグレードすることを強くお勧めします。 バックドアをセットアップし、ウェブサイトを占領し、仮想通貨マイナー(発掘者)を広めるため に、パッチが当たっていないシステムがやや広範に侵害されることが考えられます。

SpiderLabs 商用ルールの利用者は、この脆弱性が広く公開され、市場での新しい発見事象や エクスプロイトに対応するためにルールが更新されて以来、プロテクトされています。 これらの 開発の要約は、ソフトウェアの更新ページで利用できます。 https://www.trustwave.com/en-us/resources/security-resources/software-updates/web-application-security-modsecurity-commercial-rules-rules-update-for-march-2018/

最近、RCEを達成するための他の方法が開発されたことが明らかになりました。Drupalは、新たに発見された欠陥を修正するために、最新のバージョンとパッチを適用したSA-CORE-2018-004をリリースしました。

公開されたエクスプロイト分析は、フォームAPIがまだ標的にされていることを示しています。その概念実証は、認証されたユーザが投稿、トピックあるいは他のノードの削除要求を開始したときにロードされるURLの「宛先」パラメータを不正に利用します。このパラメータは、自身のサニタイズされていないパラメータ内の他のURLも許可するため、最終的に攻撃者はDrupalに対し、実行コードを欺くことができます。

さらに、「危険な」文字( "#"など)をフィルタリングする stripDangerousValues() 関数は、 "#" 文字( "%2523")のUnicode表現を使用することでバイパスすることができます。これは、任意のコード実行を可能にするSA-CORE-2018-002 CVE-2018-7600) に記載されている脆弱性に導く "#" としてアプリケーションによってデコードされます。繰り返しになりますが、まだアップグレードしていないユーザーは、アップグレードを行うことを強くお勧めします。

今回、攻撃者が脆弱なDrupalを標的にして、攻撃するまでに数時間しかかからなかったことに注目する必要があります。バックドアをセットアップし、ウェブサイトを占領し、仮想通貨マイナーを広めるためにパッチの適用されていないシステムが広く侵害されることが予想されます。

SpiderLabs WAFリサーチチームは、商業ルールが、最近公開された「Drupalgeddon3」と呼ばれる脆弱性SA-CORE-2018-004( CVE-2018-7602) を迅速にカバーしていることを確認しました。そして商用ルール利用者は、すでにそのアップデートを入手可能です。

Drupalgeddon2-2

更新されたModSecurityルールの1つからの監査ログ出力のサンプル

SpiderLabs商用ルールの利用者は、通常、ルールのアップデートに関する情報が、下記のTrustwaveのソフトウェアアップデートページで提供されることに注意してください。https://www.trustwave.com/en-us/resources/security-resources/software-updates/