Od wczorajszych godzin wieczorowych czasu polskiego świat webmasterów obiega informacja o poważnych lukach w zabezpieczeniach CMS Drupal (określanego mianem CMF-u). Naprawiona już podatność CVE-2018-7600 pozwalała atakującemu uruchomić dowolny kod na serwerze bez specjalnych uprawnień — atakujący w domyślnej instalacji nie musiał się uwierzytelniać. Luka została określona przez zespół od bezpieczeństwa silnika Drupal jako wysoce krytyczna (highly critical). Błąd otrzymał 21 punktów na 25 możliwych.
Ze względu na powagę zagrożenia nie podano szczegółów technicznych. Wykorzystanie luki było na tyle proste, że atakujący nie musiał się uwierzytelniać w serwisie jako zalogowany użytkownik, ani tym bardziej administrator. Wystarczyło mieć dostęp do przeglądarki i paska z adresem URL. Modyfikując adres URL możliwe było usunięcie lub modyfikowanie danych.
Drupal uses the hash „#” at the beginning of array keys to signify special keys usually that lead to some type of computation. Basically you can inject these. See Drupal form API for example
— Kyle Cunningham (@codeincarnate) 28 marca 2018
Do tej pory nie opracowano jeszcze publicznego exploita, aczkolwiek nie wiadomo, czy manipulacja adresem URL zadziałałby na innej niż domyślnej konfiguracji. Gdyby jednak Wasza strona została zhackowana, zespół Drupala opracował poradnik, co należy zrobić.
Niemniej sytuacja jest bardzo poważna. Zalecamy pilną aktualizację rdzenia. Podatne są wszystkie wersje rdzenia przed 7.58 i 8.5.1. Te wersje zostały załatane tak szybko, jak było to możliwe.
Więcej szczegółów o luce znajduje się na stronie poświęconej podatności CVE-2018-7600.
Administratorzy niewspieranych wersji Drupala z linii 6.X i 5.X mogą zapoznać się z tematem na Reddicie i opracowanym patch’em.
Strony zabezpieczone webowym firewallem od CloudFlare są potencjalnie bezpieczne. WAF CloudFlare nie jest dostępny w darmowej wersji usługi sieci CDN.
