Drupal ได้ออกแพตซ์ฉุกเฉินเพื่อแก้ไขช่องโหว่ที่สำคัญระดับ “Critical” โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด PHP ได้โดยไม่ต้องรับอนุญาต
ช่องโหว่สองรายการที่ได้รับการแก้ไขเกิดจากข้อบกพร่องในไลบรารี PEAR Archive_Tar ที่ถูกใช้บนระบบ Content Management System (CMS) ติดตามด้วยรหัส CVE-2020-28948 และ CVE-2020-28949 โดยช่องโหว่จะอนุญาตให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ที่มีนามสกุล .tar, .tar.
ทีม Drupal ประกาศแพตช์สำหรับช่องโหว่ระดับวิกฤติ CVE-2020-13671 จากปัญหา Double extension ซึ่งส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายขึ้นบนระบบได้โดยข้ามผ่านการตรวจสอบที่เหมาะสม
Double extension เป็นปัญหาและช่องโหว่ที่เกิดขึ้นเมื่อแอปพลิเคชันทำการตรวจสอบนามสกุลและประเภทของไฟล์ที่ไม่เหมาะสม ตัวอย่างหนึ่งของการโจมตีคือหากผู้ไม่ประสงค์ต้องการอัปโหลดไฟล์อันตรายชื่อ malware.
พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า "Drupalgeddon2" (CVE-2018-7600)
Larry W. Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai เปิดเผยว่าพบแคมเปญใหม่ที่เกิดขึ้นเป็นการพยายามเรียกใช้โค้ดที่ที่ฝังอยู่ในไฟล์ .GIF หรือไฟล์ .txt ที่มี Perl Script จากการวิเคราะห์ไฟล์ที่พบว่าถูกใช้โจมตีไปยังเว็บในประเทศบราซิล เป็นการฝัง PHP Code ที่เข้ารหัสด้วย Base64 เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้พบว่าตัวมัลแวร์เองมีความสามารถในการค้นหา credential ที่มีการเก็บไว้บนเครื่อง, ทดลองส่งอีเมลโดยใช้ credential ที่พบ, เก็บข้อมูลไฟล์ config ของ MySQL, เปลี่ยนชื่อหรืออัพโหลดไฟล์ และรัน Web shell เป็นต้น นอกจากนี้ยังพบพฤติกรรมของการทำ DDoS และฝัง Remote Access Trojan (RAT) เพื่อติดต่อไปยัง C&C
ช่องโหว่ดังกล่าวส่งผลกระทบกับ Drupal เวอร์ชั่น 6, 7 และ 8 ผู้ใช้งานควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ
ที่มา: securityweek
Drupal ระบบการจัดการเนื้อหาแบบ open-source ที่ได้รับนิยมเผยแพร่การปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Moderately Critical ใน Drupal Core ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถแฮ็กเว็บไซต์ได้
ผู้พัฒนาของ Drupal ระบุว่าช่องโหว่ด้านความปลอดภัยทั้งหมดของ Drupal ที่ได้รับการปรับปรุงในเดือนนี้เกิดจากการใช้งาน Libraries ภายนอก (third-party libraries) ซึ่งรวมอยู่ใน Drupal 8.6, Drupal 8.5 หรือก่อนหน้า รวมไปถึง Drupal 7 หนึ่งในข้อบกพร่องด้านความปลอดภัยดังกล่าวคือช่องโหว่ cross-site scripting (XSS) ที่อยู่ใน JQuery ซึ่งเป็น JavaScript library ที่ได้รับความนิยมมากที่สุดที่ถูกใช้งานโดยเว็บไซต์หลายล้านแห่ง รวมถึงได้รับการติดตั้งรวมมากับ Drupal Core ทำให้เมื่อ JQuery ได้เปิดตัว jQuery 3.4.0 เวอร์ชั่นล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว Drupal จึงจำเป็นต้องอัปเดตเพื่อแก้ไขช่องโหว่นี้ด้วย
ช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ที่ได้รับการปรับปรุงในเดือนนี้ อยู่ในส่วนของ Symfony PHP components ที่ใช้โดย Drupal Core ซึ่งอาจส่งผลให้เกิดการโจมตี Cross-site Scripting (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)
แนะนำให้อัปเดต Drupal เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีจากช่องโหว่โดย
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.6.15
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.5.15
หรือในกรณีที่ใช้ Drupal ควรอัปเดตให้เป็นรุ่น 7 7.66
ที่มา: thehackernews.
Drupal ระบบการจัดการเนื้อหาของเว็บไซต์ open-source content management system ที่ถูกนิยมใช้งานอย่างแพร่หลาย ได้ประกาศเปิดตัวเวอร์ชั่นใหม่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถโจมตีระยะไกลและเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ คือช่องโหว่ CVE-2018-14773 ใน third-party library ของบริษัท Symfony HttpFoundation ซึ่งถูกใช้งานใน Drupal Core เวอร์ชัน 8 ขึ้นไป
เนื่องจากคอมโพเนนต์ของ Symfony เป็นการทำงาน web application ที่เป็นส่วนประกอบของชุดคำสั่ง PHP ที่ถูกใช้งานอย่างแพร่หลายมีช่องโหว่เสี่ยงต่อการถูกแฮกได้ แฮกเกอร์สามารถใช้ประโยชน์จากค่า header HTTP 'X-Original-URL' หรือ 'X-Rewrite-URL ที่สร้างขึ้นมาเป็นพิเศษเพื่อหลีกเลี่ยงข้อจำกัด ในการเข้าถึงและทำให้ระบบเป้าหมายแสดงผล URL อื่นแทน URL ที่ถูกเรียกจริง
นอกจากนี้ ทีมงาน Drupal Core ยังพบช่องโหว่ทีคล้ายกัน ที่อยู่ในไลบรารี Zend Feed และ Diactoros ที่รวมอยู่ใน Drupal Core ซึ่งมีชื่อว่า 'URL Rewrite vulnerability' หากผู้ใช้งาน Drupal Core ไม่ได้ใช้ฟังก์ชันที่มีช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้งานแก้ไขเว็บไซต์ที่มีการใช้ Zend Feed หรือ Diactoros โดยการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด
ผลกระทบ
ส่งผลกระทบกับผู้ใช้ Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6
คำแนะนำ
อัปเดต Symfony เป็นเวอร์ชัน 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 และ 4.1.3 และอัปเดต Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6 เป็น 8.5.6
ที่มา: thehackernews
ทีม Drupal Security ได้มีการประกาศแพตช์ในโมดูล Custom Tokens วันนี้ โดยแพตช์ดังกล่าวเป็นแพตช์ของปัญหาด้านความปลอดภัยซึ่งอาจทำให้ผู้โจมตีรันโค้ด PHP ที่เป็นอันตรายได้
โมดูล Custom Tokens นั้นเป็นโมดูลที่ใช้ในการตั้งค่าการทำงานของ token API ใน Drupal ปัญหาของ Custom Tokens เกิดขึ้นเมื่อมีการสร้าง token ที่ไม่ได้มีการจำกัดสิทธิ์อย่างเหมาะสม ซึ่งอาจทำให้ผู้ใช้งานที่มีสิทธิ์ในระดับต่ำสามารถรันโค้ดที่เป็นอันตรายได้
Drupal Security ให้ความเห็นว่าช่องโหว่ในลักษณะนี้สามารถถูกลดผลกระทบได้เนื่องจากผู้โจมตีจะต้องมีสิทธิ์ที่เรียกว่า "administer custom tokens" ก่อน ทำให้ช่องโหว่นี้จึงไม่ได้ช่องโหว่ที่มีความรุนแรงมากนัก
สำหรับผู้ใช้งาน Drupal ควรดำเนินการอัปเดตโมดูล Custom Tokens เป็น 7.x-1.2 สำหรับผู้ใช้งานในรุ่น 1.x และ 7.x-2.0 สำหรับผู้ใช้งานในรุ่น 2.x เพื่อรับแพตช์ช่องโหว่ดังกล่าว
ที่มา : drupal
สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ
Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้
ที่มา:drupal
สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ
Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal
ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ
Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์
ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.
ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x
รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.
โครงการ Drupal ได้มีการประกาศแจ้งเตือนช่องโหว่ด้านความปลอดภัยรหัส SA-CORE-2018-0001 วันนี้ โดยในประกาศดังกล่าวนี้ประกอบไปด้วยช่องโหว่ 7 ช่องโหว่ กระทบเวอร์ชันต่ำกว่า 8.4.5 และ 7.57 และมีความร้ายแรงอยู่ในระบบ critical เกือบทั้งสิ้น
สำหรับสองจากเจ็ดช่องโหว่ระดับร้ายแรงสูงสุดนั้น ช่องโหว่แรกทำให้ผู้ใช้งานที่ทำการโพสต์คอมเมนต์สามารถเห็นคอมเมนต์รวมไปถึงข้อมูลอื่นๆ ภายใต้คอมเมนต์นั้นทั้งที่ไม่มีสิทธิ์ในการเข้าถึงหรือเข้าดูได้ ส่วนในช่องโหว่ที่สองนั้นเป็นช่องโหว่ที่เกิดจากฟังก์ชันป้องกันการโจมตีแบบ XSS ที่ทำอย่างไม่สมบูรณ์ส่งผลให้ผู้โจมตียังสามารถโจมตีแบบ XSS ได้
Recommendation: ช่องโหว่ทั้งหมดได้รับการแพตช์แล้วใน Drupal เวอร์ชัน 8.4.5 และเวอร์ชัน 7.57 แนะนำให้อัปเดตเพื่อความปลอดภัยโดยด่วน
Affected Platform: Drupal 8 ก่อนรุ่น 8.4.5, Drupal 7 ก่อนรุ่น 7.57
ที่มา: drupal