La sortie de l’exploit PoC pour une nouvelle faille de Drupal

Met à nouveau en cause des sites en crise

Quelques heures seulement après que l’équipe de Drupal ait publié les dernières mises à jour pour corriger une nouvelle faille d’exécution de code à distance dans son logiciel de gestion de contenu, les pirates ont déjà commencé à exploiter la vulnérabilité dans la nature.
Annoncé hier, la vulnérabilité nouvellement découverte ( CVE-2018-7602 ) affecte les noyaux Drupal 7 et 8 et permet aux attaquants distants de réaliser exactement ce que Drupalgeddon2 (CVE-2018-7600) a permis de prendre en charge.
Bien que l’équipe de Drupal n’ait pas publié de détails techniques sur la vulnérabilité afin d’empêcher une exploitation immédiate, deux pirates individuels ont révélé certains détails, ainsi qu’un exploit de validation de principe quelques heures seulement après la publication du correctif.

Si vous avez lu activement toutes dernières histoire sur The Hacker Nouvelles, vous devez être au courant de la façon dont la libération de Drupalgeddon2 PoC exploit dérivé beaucoup d’ attention, qui a finalement permis attaquants pirater activement les sites Web et les mineurs propagation de crypto-monnaie , backdoors et autres logiciels malveillants.
Comme prévu, l’équipe de Drupal a averti que la nouvelle faille d’exécution de code à distance, nommons -la Drupalgeddon3 , est maintenant activement exploitée dans la nature, laissant de nouveau des millions de sites vulnérables aux pirates.
Dans cet article, j’ai expliqué en quoi consistait cette nouvelle faille et comment les attaquants l’exploitaient pour pirater des sites Web exécutant des versions non corrigées de Drupal.

Le processus d’exploitation de Drupalgeddon3 est un peu similaire à Drupalgeddon2, sauf qu’il nécessite une charge utile légèrement différente pour tromper les sites Web vulnérables dans l’exécution de la charge malveillante sur le serveur de la victime.
Drupalgeddon3 réside en raison de la validation d’entrée incorrecte dans l’API de formulaire, également connu sous le nom de « renderable arrays », qui rend les métadonnées pour afficher la structure de la plupart des éléments UI (interface utilisateur) dans Drupal. Ces tableaux pouvant être rendus sont une structure de valeurs-clés dans laquelle les clés de propriétés commencent par un signe de hachage (#).

Un utilisateur de Twitter avec handle @_dreadlocked explique que la faille dans l’API de formulaire peut être déclenchée via le paramètre GET "destination" d’une URL qui se charge lorsqu’un utilisateur enregistré lance une demande de suppression d’un noeud ; où, un « nœud » est un élément de contenu individuel, tel qu’une page, un article, un sujet de forum ou un article.
Étant donné que ce paramètre de requête GET "destination" accepte également une autre URL (en tant que valeur) avec ses propres paramètres GET, dont les valeurs n’ont pas été vérifiées, elle a permis à un attaquant authentifié d’inciter des sites Web à exécuter le code.
Ce que j’ai compris de l’exploit PoC publié par un autre utilisateur de Twitter, en utilisant handle @Blaklis_, est que les valeurs non anonymes passent bien que la fonction stripDangerousValues ​​() qui filtre le caractère "#" et puisse être abusée en encodant le caractère "#" sous la forme de "% 2523".
La fonction décode "% 2523" en "% 23", qui est la version Unicode pour "#" et sera traitée pour exécuter du code arbitraire sur le système, tel qu’un utilitaire whoami.
Au début, les développeurs de Drupal étaient sceptiques quant à la possibilité d’attaques réelles utilisant la vulnérabilité de Drupalgeddon3, mais après que les rapports d’attaques « in the wild » aient émergé, Drupal a élevé le niveau de risque du problème à « hautement critique ».
Par conséquent, il est fortement recommandé à tous les administrateurs de sites Web Drupal de mettre à jour leurs sites Web aux dernières versions du logiciel dès que possible.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image