พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า “Drupalgeddon2”

พบความพยายามในการติดตั้งมัลแวร์โดยอาศัยช่องโหว่ของ Drupal ที่มีชื่อว่า "Drupalgeddon2" (CVE-2018-7600)

Larry W. Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai เปิดเผยว่าพบแคมเปญใหม่ที่เกิดขึ้นเป็นการพยายามเรียกใช้โค้ดที่ที่ฝังอยู่ในไฟล์ .GIF หรือไฟล์ .txt ที่มี Perl Script จากการวิเคราะห์ไฟล์ที่พบว่าถูกใช้โจมตีไปยังเว็บในประเทศบราซิล เป็นการฝัง PHP Code ที่เข้ารหัสด้วย Base64 เพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้พบว่าตัวมัลแวร์เองมีความสามารถในการค้นหา credential ที่มีการเก็บไว้บนเครื่อง, ทดลองส่งอีเมลโดยใช้ credential ที่พบ, เก็บข้อมูลไฟล์ config ของ MySQL, เปลี่ยนชื่อหรืออัพโหลดไฟล์ และรัน Web shell เป็นต้น นอกจากนี้ยังพบพฤติกรรมของการทำ DDoS และฝัง Remote Access Trojan (RAT) เพื่อติดต่อไปยัง C&C

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Drupal เวอร์ชั่น 6, 7 และ 8 ผู้ใช้งานควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อหลีกเลี่ยงการตกเป็นเหยื่อ

ที่มา: securityweek

Drupal Releases Core CMS Updates to Patch Several Vulnerabilities

Drupal ระบบการจัดการเนื้อหาแบบ open-source ที่ได้รับนิยมเผยแพร่การปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ Moderately Critical ใน Drupal Core ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถแฮ็กเว็บไซต์ได้

ผู้พัฒนาของ Drupal ระบุว่าช่องโหว่ด้านความปลอดภัยทั้งหมดของ Drupal ที่ได้รับการปรับปรุงในเดือนนี้เกิดจากการใช้งาน Libraries ภายนอก (third-party libraries) ซึ่งรวมอยู่ใน Drupal 8.6, Drupal 8.5 หรือก่อนหน้า รวมไปถึง Drupal 7 หนึ่งในข้อบกพร่องด้านความปลอดภัยดังกล่าวคือช่องโหว่ cross-site scripting (XSS) ที่อยู่ใน JQuery ซึ่งเป็น JavaScript library ที่ได้รับความนิยมมากที่สุดที่ถูกใช้งานโดยเว็บไซต์หลายล้านแห่ง รวมถึงได้รับการติดตั้งรวมมากับ Drupal Core ทำให้เมื่อ JQuery ได้เปิดตัว jQuery 3.4.0 เวอร์ชั่นล่าสุด เพื่อแก้ไขช่องโหว่ดังกล่าว Drupal จึงจำเป็นต้องอัปเดตเพื่อแก้ไขช่องโหว่นี้ด้วย

ช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ที่ได้รับการปรับปรุงในเดือนนี้ อยู่ในส่วนของ Symfony PHP components ที่ใช้โดย Drupal Core ซึ่งอาจส่งผลให้เกิดการโจมตี Cross-site Scripting (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

แนะนำให้อัปเดต Drupal เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงจากการถูกโจมตีจากช่องโหว่โดย
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.6.15
ในกรณีที่ใช้ Drupal 8.6 ควรอัปเดตให้เป็นรุ่น 8.5.15
หรือในกรณีที่ใช้ Drupal ควรอัปเดตให้เป็นรุ่น 7 7.66

ที่มา: thehackernews.

Drupal Releases Security Update

Drupal ระบบการจัดการเนื้อหาของเว็บไซต์ open-source content management system ที่ถูกนิยมใช้งานอย่างแพร่หลาย ได้ประกาศเปิดตัวเวอร์ชั่นใหม่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถโจมตีระยะไกลและเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ คือช่องโหว่ CVE-2018-14773 ใน third-party library ของบริษัท Symfony HttpFoundation ซึ่งถูกใช้งานใน Drupal Core เวอร์ชัน 8 ขึ้นไป

เนื่องจากคอมโพเนนต์ของ Symfony เป็นการทำงาน web application ที่เป็นส่วนประกอบของชุดคำสั่ง PHP ที่ถูกใช้งานอย่างแพร่หลายมีช่องโหว่เสี่ยงต่อการถูกแฮกได้ แฮกเกอร์สามารถใช้ประโยชน์จากค่า header HTTP 'X-Original-URL' หรือ 'X-Rewrite-URL ที่สร้างขึ้นมาเป็นพิเศษเพื่อหลีกเลี่ยงข้อจำกัด ในการเข้าถึงและทำให้ระบบเป้าหมายแสดงผล URL อื่นแทน URL ที่ถูกเรียกจริง

นอกจากนี้ ทีมงาน Drupal Core ยังพบช่องโหว่ทีคล้ายกัน ที่อยู่ในไลบรารี Zend Feed และ Diactoros ที่รวมอยู่ใน Drupal Core ซึ่งมีชื่อว่า 'URL Rewrite vulnerability' หากผู้ใช้งาน Drupal Core ไม่ได้ใช้ฟังก์ชันที่มีช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้งานแก้ไขเว็บไซต์ที่มีการใช้ Zend Feed หรือ Diactoros โดยการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ผลกระทบ
ส่งผลกระทบกับผู้ใช้ Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6

คำแนะนำ
อัปเดต Symfony เป็นเวอร์ชัน 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 และ 4.1.3 และอัปเดต Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6 เป็น 8.5.6

ที่มา: thehackernews

Custom Tokens – Critical – Arbitrary PHP code execution – SA-CONTRIB-2018-041

ทีม Drupal Security ได้มีการประกาศแพตช์ในโมดูล Custom Tokens วันนี้ โดยแพตช์ดังกล่าวเป็นแพตช์ของปัญหาด้านความปลอดภัยซึ่งอาจทำให้ผู้โจมตีรันโค้ด PHP ที่เป็นอันตรายได้

โมดูล Custom Tokens นั้นเป็นโมดูลที่ใช้ในการตั้งค่าการทำงานของ token API ใน Drupal ปัญหาของ Custom Tokens เกิดขึ้นเมื่อมีการสร้าง token ที่ไม่ได้มีการจำกัดสิทธิ์อย่างเหมาะสม ซึ่งอาจทำให้ผู้ใช้งานที่มีสิทธิ์ในระดับต่ำสามารถรันโค้ดที่เป็นอันตรายได้

Drupal Security ให้ความเห็นว่าช่องโหว่ในลักษณะนี้สามารถถูกลดผลกระทบได้เนื่องจากผู้โจมตีจะต้องมีสิทธิ์ที่เรียกว่า "administer custom tokens" ก่อน ทำให้ช่องโหว่นี้จึงไม่ได้ช่องโหว่ที่มีความรุนแรงมากนัก

สำหรับผู้ใช้งาน Drupal ควรดำเนินการอัปเดตโมดูล Custom Tokens เป็น 7.x-1.2 สำหรับผู้ใช้งานในรุ่น 1.x และ 7.x-2.0 สำหรับผู้ใช้งานในรุ่น 2.x เพื่อรับแพตช์ช่องโหว่ดังกล่าว

ที่มา : drupal

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2018-003

สำหรับผู้ใช้งานทั่วไป ให้ทำการตรวจสอบการดำเนินการเพื่อป้องกันการโจมตีดังนี้
- ในกรณีที่ผู้ใช้งานมีการใช้ Drupal 8 ให้ทำการดาวโหลดไปเป็น Drupal 8.5.2 ถึง 8.4.7
- สำหรับ Drupal 7.x ที่ใช้งาน CKEditor ในเวอร์ชัน 7.x-1.18 จาก CDN โดยตรงจะไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตามหากมีการติดตั้งไลบรารีจากช่องทางอื่น และ CKEditor ที่ติดตั้งเองนั้นอยู่ในช่องรุ่น 4.5.11 - 4.9.1 ให้ทำการอัปเดตไปเป็น CKEdit 4.9.2 โดยทันที
Recommendation Drupal ออกประกาศเตือนช่องโหว่ XSS ความรุนแรงระดับ "เกือบ" วิกฤติ

Drupal ได้มีการประกาศแพตช์ด้านความปลอดภัยรหัส SA-CORE-2018-003 ซึ่งเป็นช่องโหว่ XSS ในไลบรารี CKEditor ที่ความรุนแรงระดับสูง (moderately critical) ช่องโหว่ XSS สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลในการยืนยันตัวตนและปลอมแปลงเป็นผู้ใช้งานอื่นได้

ที่มา:drupal

วิเคราะห์โค้ดโจมตีช่องโหว่ Drupalgeddon2 (CVE-2018-7600)

สรุปย่อ
หลังจากโครงการ Drupal ประกาศพบช่องโหว่ร้ายแรงรหัส CVE-2018-7600 หรือ SA-CORE-2018-002 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x เมื่อวันที่ 28 มีนาคมที่ผ่านมานั้น ในตอนนี้โค้ดสำหรับโจมตีช่องโหว่ดังกล่าวก็ได้มีการถูกเผยแพร่ออกสู่สาธารณะและถูกนำมาใช้ในการโจมตีจริงแล้ว ทีมผู้เชี่ยวชาญด้านความปลอดภัยบนเว็บแอปพลิเคชันจาก บริษัท ไอ-ซีเคียว จำกัด จึงจะขอนำช่องโหว่และโค้ดสำหรับโจมตีช่องโหว่มาอธิบายเพื่อสร้างความตระหนักรู้ซึ่งจะนำไปสู่การควบคุมและจัดการความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่นี้ครับ

Drupal เป็นโครงการซอฟต์แวร์แบบโอเพนซอร์สในรูปแบบของตัวจัดการเนื้อหาบนเว็บไซต์ (Content Management System - CMS) ซึ่งได้รับความนิยมและถูกใช้งานมากมายทั่วโลก สำหรับช่องโหว่ล่าสุดคือ Drupalgeddon2 นั้น ที่มาที่แท้จริงยังคงเกิดจากปัญหายอดนิยมคือประเด็นของการตรวจสอบข้อมูลนำเข้า (input) ที่ถูกส่งมายัง Form API ซึ่งไม่สมบูรณ์มากพอ ทำให้เกิดช่องโหว่ด้านความปลอดภัยที่ผู้ประสงค์ร้ายสามารถรันโค้ดที่เป็นอันตรายได้
ทำความรู้จัก Form API
Form API เป็น API รูปแบบหนึ่งใน Drupal ซึ่งมีการใช้งานรูปแบบการเก็บข้อมูลที่เรียกว่า Renderable Arrays โดยรูปแบบการเก็บข้อมูลชนิดนี้นั้นเป็นส่วนเสริมที่สร้างขึ้นมาเพื่อใช้ในการแสดงโครงสร้างรวมไปถึงส่วนประกอบต่าง ๆ ของ Drupal

ข้อมูลใน Renderable Arrays นั้นจะถูกเก็บอยู่ในรูปแบบของอาเรย์ที่มี key และ value ซึ่งจะถูกเรียกใช้ในแต่ละครั้งที่มีการพยายามแสดงผล (render) จาก API ข้อมูลในส่วนของ key ภายในอาเรย์นั้นจะถูกระบุโดยมีการใช้เครื่องหมาย # (hash) นำหน้าค่าของ key เสมอ

Form API นั้นมีการใช้งานโดยทั่วไปใน Drupal ในรูปแบบของฟอร์มสำหรับกรอกข้อมูล แต่สำหรับ Drupal ซึ่งพึ่งมีการติดตั้งใหม่นั้น ฟอร์มสำหรับกรอกข้อมูลจุดหนึ่งที่มีการใช้งาน Form API และมักจะถูกใช้งานโดยผู้ใช้เว็บไซต์เสมอนั้นคือฟอร์มสำหรับกรอกข้อมูลเพื่อสมัครสมาชิกในการเข้าสู่ระบบของเว็บไซต์

ด้วยลักษณะของฟอร์มกรอกข้อมูลที่สามารถเข้าถึงสาธารณะ ช่องโหว่ Drupalgeddon2 จึงอาศัยฟอร์มกรอกข้อมูลและปัญหาของการไม่ตรวจสอบข้อมูลนำเข้าที่ผู้ใช้งานส่งเข้าไปในรูปแบบ Renderable Arrays เพื่อควบคุมและสั่งการให้เกิดการประมวลผลที่ส่งผลกระทบต่อความปลอดภัยได้
การโจมตีช่องโหว่
อ้างอิงจากบทวิเคราะห์ช่องโหว่จาก CheckPoint และ Dofinity พร้อมโค้ดสำหรับโจมตีช่องโหว่ Drupalgeddon2 ซึ่งถูกเผยแพร่ออกมานั้น หนึ่งในตัวอย่างของการโจมตีช่องโหว่สามารถทำได้โดยผ่าน curl อ้างอิงจาก @IamSecurity ในรูปแบบดังนี้
$ curl -s -X 'POST' --data 'mail[%23post_render][]=exec&mail[%23children]=pwd&form_id=user_register_form' 'http://drupal.

แจ้งเตือนช่องโหว่ร้ายแรงสูงสุดบน Drupal 7.x-8.x ยึดเว็บได้จากระยะไกล

ทีมงาน Drupal ประกาศออกแพตช์แก้ไขช่องโหว่ระดับความรุนแรงสูง SA-CORE-2018–002 (CVE-2018-7600) เป็นช่องโหว่ประเภท Remote Code Execution หรือช่องโหว่ที่สามารถรันคำสั่งใดๆ บนเครื่องเว็บเซิฟเวอร์ที่ติดต้ัง Drupal ได้โดยไม่ต้องพิสูจน์ตัวตน มีผลกระทบโดยตรงกับ Drupal เวอร์ชั่น 7.x, 8.3.x, 8.4.x และ 8.5.x

รายละเอียดช่องโหว่
ในแพตช์ซึ่งถูกเผยแพร่ออกมาพร้อมกับเวอร์ชั่นใหม่ของ Drupal แพตช์มีการเพิ่มไฟล์ขึ้นมาหนึ่งไฟล์คือ request-sanitizer.

Drupal core – Critical – Multiple Vulnerabilities – SA-CORE-2018-001

โครงการ Drupal ได้มีการประกาศแจ้งเตือนช่องโหว่ด้านความปลอดภัยรหัส SA-CORE-2018-0001 วันนี้ โดยในประกาศดังกล่าวนี้ประกอบไปด้วยช่องโหว่ 7 ช่องโหว่ กระทบเวอร์ชันต่ำกว่า 8.4.5 และ 7.57 และมีความร้ายแรงอยู่ในระบบ critical เกือบทั้งสิ้น

สำหรับสองจากเจ็ดช่องโหว่ระดับร้ายแรงสูงสุดนั้น ช่องโหว่แรกทำให้ผู้ใช้งานที่ทำการโพสต์คอมเมนต์สามารถเห็นคอมเมนต์รวมไปถึงข้อมูลอื่นๆ ภายใต้คอมเมนต์นั้นทั้งที่ไม่มีสิทธิ์ในการเข้าถึงหรือเข้าดูได้ ส่วนในช่องโหว่ที่สองนั้นเป็นช่องโหว่ที่เกิดจากฟังก์ชันป้องกันการโจมตีแบบ XSS ที่ทำอย่างไม่สมบูรณ์ส่งผลให้ผู้โจมตียังสามารถโจมตีแบบ XSS ได้

Recommendation: ช่องโหว่ทั้งหมดได้รับการแพตช์แล้วใน Drupal เวอร์ชัน 8.4.5 และเวอร์ชัน 7.57 แนะนำให้อัปเดตเพื่อความปลอดภัยโดยด่วน
Affected Platform: Drupal 8 ก่อนรุ่น 8.4.5, Drupal 7 ก่อนรุ่น 7.57

ที่มา: drupal

Vulnerability in Drupal – CVE-2017-6920

Drupal เป็น CMS อีกเจ้าหนึ่งที่มีผู้นิยมใช้เยอะมาก แต่ล่าสุดมีการเปิดเผยว่าพบช่องโหว่ร้ายแรงในส่วนหลักของ Drupal ทำให้เว็บไซด์อาจถูกยึดได้ง่ายๆ

ช่องโหว่ที่พบคือ Remote Code Execution (การสั่งคำสั่งจากระยะไกล) ใน Drupal คือ version 8.0 - 8.3.3 ได้รับผลกระทบคืออาจถูกยึดเครื่องจากระยะไกลได้ โดยได้รับ CVE คือ CVE-2017-6920 ซึ่งมีเว็บไซด์จำนวนมากที่ได้รับผลกระทบ สำหรับใครที่ให้บริการแนะนำให้ทำการ update เป็น version 8.3.4 โดยด่วน

ผลกระทบ: Remote Code Execution
ระบบที่ได้รับผลกระทบ: Drupal 8.0 < 8.3.4
วิธีการแก้ไข: Update เป็น version 8.3.4

ที่มา : securityfocus

Drupal Core – Critical – Access Bypass – SA-CORE-2017-002

Drupal ออก version 8.2.8 และ 8.3.1 อุดช่องโหว่รุนแรง
Drupal ถือเป็น CMS(Content Management System) ที่ได้รับความนิยมอันดับต้นๆจากทั้งหมด แต่ล่าสุดมีการปล่อย update ออกมาเพื่ออุดช่องโหว่ร้ายแรงทำให้สามารถ bypass การ login ได้ครับ แนะนำ update ด่วน
โดย Drupal ที่ได้รับผบกระทบประมาณ 150,000 เว็บไซด์ โดยเว็บไซด์ที่มีช่องโหว่จะต้องมีคุณสมบัติดังนี้

- Enable RESTFul Web service (rest module)
- อนุญาตให้ใช้ PATCH request
- Attacker สามารถหา user หรือ register user บนเว็บไซด์ที่เป็นเป้าหมายได้

version ที่ได้รับผลกระทบคือ Drupal 8.x < 8.2.8 และ 8.3.1 ครับ ตอนนี้ทาง Drupal ได้ออก version ใหม่เพื่ออุดช่องโหว่เรียบร้อยแล้วครับ
ระบบที่ได้รับผลกระทบ: Drupal 8.x < 8.2.8 และ 8.3.1
ผลกระทบ: Access Bypass (Critical Severity)
วิธีการแก้ไข: Update เป็น Drupal version 8.2.8 หรือ 8.3.1

 

ที่มา: drupal