Спільнота Drupal випустило рекомендації з протидії критичної уразливості SA-CORE-2014-005

2 0 2 0   Високо критична уразливість в Drupal 7   Ілюстрація з сайту   nixp

Високо критична уразливість в Drupal 7
Ілюстрація з сайту nixp.ru

15 жовтня команда безпеки Drupal опублікувала бюлетень з високо критичної вразливістю SA-CORE-2014-005 (CVE-2014-3704), якій можуть бути схильні до абсолютно всі сайти на Drupal 7. Позавчора команда опублікувала рекомендації щодо усунення проблеми.

В Drupal Core виявили критичну вразливість, яка дозволяє виконати SQL-ін'єкцію від анонімного користувача. Зловмисники почали експлуатувати уразливість в автоматичному режимі через кілька годин, атаки спрямовані на сайти, які використовують Drupal нижче 7.32, і без встановленого патча . Команда безпеки рекомендує всім веб-майстрам керуватися думкою, що скомпрометований кожен сайт на Drupal 7, який не був оновлений або пропатчений протягом 7 годин з моменту публікації уразливості, тобто до 23 годин (UTC) 15 жовтня або 3-ї години 16 жовтня (UTC + 4, МСК).

Щоб усунути цю вразливість, веб-майстру необхідно негайно оновити Drupal до версії 7.32 або накласти патч, якщо оновлення неможливо. Однак оновлення не допоможе, якщо сайт вже скомпрометований. Також спостерігається ситуація, коли зловмисники оновлюють сайт, щоб приховати сліди злому і створити ілюзію контролю над сайтом. При зломі атакуюча сторона отримує доступ до всіх даних і може їх скопіювати - цю атаку складно виявити. У документації детально описано , Як можна вчинити з сайтом в разі зараження.

Також зловмисники могли закласти бекдори на сайт, модифікувати код або файли на сервері, скомпрометувати інші сервіси і підвищити привілеї. Оскільки виявити всі можливі бекдори - це дуже складне завдання, команда безпеки Drupal рекомендує створити сайт «з нуля» або відновити резервну копію сайту не пізніше 16 годин (UTC) 15 жовтня, щоб уникнути частини цих наслідків. Детальніше про це написано в рекомендаціях.

Постійне посилання до новини: https://www.nixp.ru/news/12922.html . Микита Лялін за матеріалами Drupal.Org , Drupal.Org .