Эксплуатация новой уязвимости в Drupal началась сразу после ее исправления

Как и было обещано , в среду, 25 апреля, разработчики Drupal выпустили обновления безопасности. Спустя пять часов с момента выхода патчей злоумышленники начали активно эксплуатировать только что исправленную уязвимость.

Речь идет об уязвимости CVE-2018-7602, которую не следует путать с CVE-2018-7600, также известной под названием Drupalgeddon 2. Эта проблема была закрыта в марте текущего года и также активно эксплуатируется киберпреступниками. В отличие от Drupalgeddon 2, эксплуатация которой началась только через две недели после исправления, хакеры взяли на вооружение CVE-2018-7602 практически сразу. Команда Drupal предвидела такое развитие событий, поэтому заблаговременно предупредила пользователей о скором выходе патчей и рекомендовала установить их как можно скорее, поскольку эксплуатация уязвимости может начаться «в течение нескольких часов или дней».

Уязвимость позволяет удаленно выполнить код и затрагивает версии Drupal 7.x и 8.x. По шкале оценки опасности уязвимостей Drupal она получила 20 баллов из 25, а значит, с ее помощью злоумышленник может захватить полный контроль над сайтом.

Разработчики системы управления контентом обнаружили проблему во время изучения Drupalgeddon 2. Как оказалось, обе уязвимости связаны между собой. Некоторые пользователи даже «окрестили» новую уязвимость Drupalgeddon 3.

Как и CVE-2018-7600, CVE-2018-7602 связана с обработкой Drupal символа «#» в URL-адресах, а также с отсутствием проверки поставляемых через этот символ параметров. Проблема исправлена в версиях Drupal 7.59, 8.4.8 и 8.5.3.

Через семь часов после выхода обновлений и два часа после начала эксплуатации уязвимости в реальных атаках некто под псевдонимом Blaklis опубликовал на Pastebin PoC-эксплоит. Публикация кода существенно упростит задачу хакерам, поэтому владельцам сайтов настоятельно рекомендуется установить обновления.