Eksploitasi kerentanan Drupal yang sangat berbahaya telah dimulai setelah penerbitan kode proof-of-concept (PoC).

Kode, yang dihosting di GitHub, dibuat oleh Vitalii Rudnykh, seorang peneliti keamanan Rusia. Kode ini didasarkan pada rincian kerentanan Drupalgeddon2 yang diterbitkan oleh peneliti Check Point dan Dofinity.

Itu semua terjadi dalam beberapa jam antara pos blog Check Point, Rudnykh PoC, dan awal dari upaya eksploitasi — pertama kali ditemukan oleh perusahaan keamanan web Sucuri.

Sucuri: Belum banyak upaya eksploitasi

Belum melihat banyak upaya, hanya beberapa dari beberapa alamat IP,” Daniel Cid, VP Engineering di GoDaddy dan CTO/Pendiri Sucuri mengatakan kepada kami dalam percakapan pribadi.

Cid mengatakan kepada kami bahwa sebagian besar upaya eksploitasi adalah “berdasarkan pada PoC yang dibagikan di GitHub,” tetapi para penyerang lainnya juga mungkin bekerja dengan kode mereka sendiri.

Kerentanan ini (CVE-2018-7600) memungkinkan penyerang untuk menjalankan kode apa pun yang diinginkannya terhadap salah satu komponen inti CMS, yang secara efektif mengambil alih sebuah situs. Lihat penjelasan Check Point dan Dofinity di bawah ini:

Singkatnya, Drupal tidak memiliki cukup masukan sanitasi pada formulir API (FAPI) permintaan AJAX. Akibatnya, ini memungkinkan penyerang berpotensi menginjeksikan muatan berbahaya ke dalam struktur bentuk internal. Ini akan menyebabkan Drupal menjalankannya tanpa otentikasi pengguna. Dengan mengeksploitasi kerentanan ini, penyerang akan dapat melakukan pengambilalihan situs secara penuh terhadap pelanggan Drupal.

Tim keamanan Drupal memperbaiki kerentanan tersebut pada 28 Maret dengan perilisan Drupal 7.58 dan Drupal 8.5.1. Tim Drupal mengatakan, pihaknya memperkirakan bahwa “eksploitasi dapat dikembangkan dalam beberapa jam atau hari.”

Dibutuhkan dua minggu untuk pengeksploitasian pertama yang dipublikasikan terutama karena tim Drupal menyembunyikan banyak detail tentang kerentanan dari publik mungkin untuk menunda pembuatan PoC dan memungkinkan pemilik situs untuk memperbarui situs mereka.

Belum ada pengambil-alihan situs. Hanya banyak pengujian PoC.

Kevin Liston, seorang peneliti keamanan SANS ISC, juga telah mendeteksi upaya eksploitasi terhadap honeypots organisasinya. Perintah yang coba dijalankan oleh penyerang melalui PoC saat ini tidak berbahaya, dan tidak ada yang mencoba untuk mengambil alih server:

Ini adalah instruksi yang khusus untuk penyerang yang menguji keefektifan PoC. Mempertimbangkan jumlah rendah pemindaian yang diamati Sucuri, sifat penyusup kerentanan, dan sejarah upaya eksploitasi kerentanan sebelumnya, hanya masalah waktu sebelum angka eksploitasi meledak dan penjahat mengganti instruksi ini dengan malware berbasis web atau injeksi spam SEO.

Saya berasumsi bahwa malam ini dan besok pagi akan dimulai,” kata Cid kepada kami tentang skala dan kompleksitas upaya eksploitasi ini. “[Ini] perlombaan senjata kecil untuk melihat siapa yang bisa mendapatkan situs pertama.”

Situs berita tertangkap menggunakan PoC Drupalgeddon2

Liston telah mulai melacak beberapa sumber dari pemindaian ini. Yang dia dapat mengidentifikasi pagi ini diikat kembali ke situs berita keamanan Cina.

Server nama otoritatif untuk ‘ceye.io’ adalah ns[12].hackernews.cc, yang tampaknya milik situs berita keamanan Cina,” kata Liston hari ini di sebuah posting forum.

Mungkin mereka sedang mengerjakan sebuah kisah untuk mempublikasikan berapa banyak sistem rentan yang ada, tetapi eksploitasi kerentanan yang sebenarnya, meskipun agak jinak, mungkin merupakan langkah yang terlalu jauh untuk sebuah berita.”

Jika kamu menjalankan situs Drupal, ini mungkin beberapa jam terakhir kamu harus memperbaiki sebelum berada pada risiko serius kehilangan kendali atas situs.