В популярном движке нашлась дыра, которая позволяет легко захватывать сайты
Владельцам сайтов на базе CMS Drupal рекомендуется срочно установить свежие обновления: в системе обнаружена критическая уязвимость, позволяющая злоумышленникам перехватывать контроль над всем веб-ресурсом.
Срочное обновление Drupal
Все сайты на базе открытой системы управления контентом (CMS) Drupal версий с индексом ниже 7.58 или 8.5.1, как оказалось, содержат критическую уязвимость, которая позволяет захватить контроль над этой CMS. Анонсируя выпуск патчей, разработчики Drupal предупредили в конце марта 2018 г., что эксплойты могут быть готовы в пределах нескольких часов после того, как информация об этом баге будет раскрыта публично.
Баг, получивший индекс CVE-2018-7600, позволяет злоумышленнику запускать любой произвольный код в контекст ядра CMS, что открывает ему возможность захватывать веб-сайт. Злоумышленнику не понадобится ни регистрироваться, ни авторизоваться на сайте. Все, что ему необходимо, это URL-ссылка.
Баг уже назвали Drupalgeddon2. Первый Drupalgeddon — это баг 2014 г. (CVE-2014-3704), связанный с возможностью SQL-инъекции — внедрения произвольного SQL-кода для взлома сайтов. Этот баг использовался потом злоумышленниками в течение нескольких лет.
Угроза от Drupalgeddon2 немного меньше (21 из 25 балла по собственной шкале Drupal, а не 25 из 25, как с первым Drupalgeddon), но тоже слишком высока, с точки зрения разработчиков, чтобы ее игнорировать.
Атаки еще не начались
К настоящему моменту, как утверждают разработчики Drupal, у них нет никакой информации об атаках, эксплуатирующих уязвимость CVE-2018-7600, но вряд ли этого придется долго ждать.
Основной сайт Drupal в конце марта 2018 г. был на полчаса отключен — как раз для обновления. Всем прочим пользователям этой CMS категорические рекомендуется последовать примеру как можно скорее.
На сегодняшний день наибольшей популярностью пользуются две ветки Drupal — 7.х и 8.х. Ветка 6.х снята с поддержки еще в начале 2016 г., однако разработчики Drupal решили выпустить экстренный патч и для нее.
«Исправления для неподдерживаемых версий ПО выпускаются только в самых исключительных случаях, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Drupalgeddon2 — это как раз такой случай. Решение разработчиков можно только приветствовать, особенно учитывая, что Drupal — пусть и не самая, но все-таки популярная система управления контентом».
Доля Drupal среди систем управления контентом в мире на сегодняшний день составляет около 4,3% (2,2% от общего числа сайтов во Всемирной сети используют именно ее). Drupal часто критикуют за обилие ошибок, неудобство в использовании, проблемы с масштабируемостью и т. д. Тем не менее, систему до сих пор используют блоги, а также корпоративные, и даже правительственные сайты.