تنها چند ساعت بعد از آنکه تیم Drupal برای رفع آسیبپذیری تازه کشف شده بروزرسانی مربوطه را اعلام کرد، مهاجمین شروع به سواستفاده از این آسیبپذیری نمودند. آسیبپذیری تازه کشف شده در Drupal به شماره مرجع CVE-2018-7602 نسخههای ۷ و ۸ دقیقا مثل آسیبپذیری قبلی که Drupalgeddon2 نام داشت، به مهاجم اجازه میدهد تا از راه دور سایت را کامل از کار بیندازد.
تیم فنی Drupal هیچگونه جزئیات فنیای از این آسیبپذیری منتشر نکرد تا مهاجمان نتوانند اکسپلویت آن را بلافاصله نوشته و منتشر کنند. اما دو نفر از مهاجمین امنیتی این آسیبپذیری را به سرعت بررسی و اکسپلویت آن را منتشر کردند.
اگر اخبار امنیتی را دنبال کرده باشید، حتما دیدهاید که آسیبپذیری قبلی Drupal چطور مهاجمین امنیتی در سراسر دنیا را به حرکت انداخت. برخی از این مهاجمین موفق شدند با سواستفاده از این آسیبپذیری کنترل کامل برخی وبسایتها را به دست گرفته و از طریق آنها minerهای ارز دیجیتال، دربهای پشتی و انواع مختلفی از بدافزارها را منتشر نمایند. تیم امنیتی Drupal نسبت به یک آسیبپذیری جدید که به مهاجم اجازه میدهد تا کدهای مورد نظرش را اجرا نماید، هشدار داده است. تیم امنیتی Drupal از این آسیبپذیری به عنوان Drupalgeddon3 یاد میکند.
Drupalgeddon3
آسیبپذیری جدید Drupal با نام Drupalgeddon3 به دلیل عدم اعتبارسنجی مناسب در فرمهای API (آرایههای قابل رندر شدن) میباشد. این آرایهها ابردادهها را رندر میکنند و آنها را به خروجیای تبدیل میکنند که برای UIهای Drupal قابل فهم باشند. این آرایهها با علامت # آغاز میشوند.
حال به نحوه استفاده از این آسیبپذیری میپردازیم. زمانی که یک کاربر که قبلا ثبتنام کرده است درخواست پاک کردن یک گره را میدهد (گره میتواند قسمتی از محتوی مثل یک صفحه، مقاله، فروم و یا یک پست باشد). این درخواست از طریق پارامتر GET در یک URL ارسال شده، بارگذاری میگردد. از آنجایی که بررسی ورودیها به درستی صورت نمیپذیرد مهاجمی که احراز هویت شده است، کدهای مورد نظرش را در URL قرار داده و با فریب وبسایت آنها را اجرا مینماید. این مقادیر از تابع stripDangerousValues() عبور کرده و فیلتر میشوند. این تابع “%۲۵۲۳” را به “%۲۳” کدگشایی میکند که در واقع یونی کد هش (#) میباشد. در نتیجه کدهایی که بعد از این یونیکد میآیند پردازش خواهند شد.
درجه اهمیت این آسیبپذیری
در ابتدا، توسعهدهندگان Drupal احتمال وقوع حمله واقعی با استفاده از این آسیبپذیری را کم میدانستند اما بعد از گزارشات حملاتی که اتفاق افتاد، تیم امنیتی Drupal درجه این آسیبپذیری را به بسیار حساس تغییر داد. بنابراین به تمامی صاحبان وبسایتهایی که با سیستم مدیریت محتوی Drupal ساخته شدهاند اکیدا توصیه میگردد که برروزرسانیهای امنیتی را نصب نمایند. برای اطلاعات بیشتر میتوانید به خبر مربوط به این آسیبپذیری مراجعه نمایید.