Drupal 7 - ataque en los registros

6

En mis registros de Drupal 7 veo entradas como:

http://example.com/?q=file/ajax/name/%23value/form-tkSDwR6W66a8vR_AIDxAzwMVklkjTkNMjf8SEqfTX8Q

Hay varias entradas como esta, con solo la última cadena cambiada.

Es por un usuario no autenticado.

También intenté acceder a la URL y obtengo lo siguiente:

[{"command":"settings","settings":{"basePath":"\/","pathPrefix":"","themename":{"topoptiontext":"Page selection"},"ajaxPageState":{"theme":"themename","theme_token":"xxxxxx"}},"merge":true},{"command":"insert","method":"replaceWith","selector":null,"data":"\u003Cdiv class=\u0022messages error\u0022\u003E\n\u003Ch2 class=\u0022element-invisible\u0022\u003EError message\u003C\/h2\u003E\nAn unrecoverable error occurred. The uploaded file likely exceeded the maximum file size (128 MB) that this server supports.\u003C\/div\u003E\n","settings":null}]

En la entrada del registro anterior, eliminé el nombre de mi tema y reemplacé el toke con xxxx Supongo que el atacante no logró entrar.

Mi sitio está parcheado a la última versión 7.58

¿Debería preocuparme por eso? ¿Hay algo que deba hacer para evitarlo?

Muchas gracias

    
pregunta MMT 18.04.2018 - 21:49
fuente

1 respuesta

5

Esto parece parte de un intento de explotar CVE-2018-7600 aka SA-CORE-2018-002 , la vulnerabilidad que se corrigió en Drupal 7.58 (y 8.3.9, 8.4.6 y 8.5.1). Esto estaba siendo ampliamente explotated en el momento en que esta pregunta era preguntó.

Si ya estaba ejecutando un Drupal completamente parcheado, entonces no era vulnerable a este ataque. Sin embargo, ahora se sabe que Drupal 7.58 es vulnerable a un ataque similar, por lo que debe asegurarse de actualizar a la versión más reciente, si es que aún no lo ha hecho.

En general, cualquier persona que use Drupal debe asegurarse de mantener actualizados tanto el núcleo de Drupal como cualquier módulo y tema que utilicen (esto es válido para todo el software). Drupal publica sus anuncios de seguridad, junto con información sobre cómo recibir notificaciones cuando estén disponibles, en enlace .

Si tiene algún sitio de Drupal que aún no esté no parcheado, consulte enlace .

Si está interesado, puede agregar $conf['sanitize_input_logging'] = TRUE; a su archivo settings.php (en un sitio completamente parcheado) para habilitar el registro adicional de los intentos detectados para aprovechar este problema. Luego, comenzará a ver mensajes sobre "Claves potencialmente inseguras eliminadas ..." en su registro de vigilancia cuando se detecte un intento de explotación.

El ataque original (para Drupal 7) está en dos partes. La primera parte hace una solicitud hecha a mano a una página con un formulario, generalmente el formulario de restablecimiento de contraseña, para almacenar un valor especial en un caché; el segundo solicita la URL / file / ajax ... de una manera que engaña a la API de formulario de Drupal para que malinterprete el valor almacenado en caché y ejecute algún código contenido en él. La primera solicitud es la que se solucionará con la solución en Drupal 7.58. El segundo es lo que está viendo en el registro aquí. (La corrección adicional en Drupal 7.59 agrega desinfección adicional para ambos). El valor aleatorio es la clave de caché, conocida en el lenguaje de Drupal como el Id. De compilación del formulario.

Supongo que una vulnerabilidad de CVE-2018-7602 puede parecer similar, aunque el anuncio parece indica que este no puede ser explotado por un usuario no autenticado y, en cualquier caso, los detalles no eran públicos en ese momento.

    
respondido por el John Morahan 19.04.2018 - 00:41
fuente

Lea otras preguntas en las etiquetas