文档信息
| 编号 | QiAnXinTI-SV-2018-009 |
| 关键字 | CVE-2018-7600 Drupal |
| 发布日期 | 2018年4月13日 |
| 更新日期 | 2018年4月13日 |
| TLP | WHITE |
| 分析团队 | 奇安信威胁情报中心 |
通告背景
Drupal CMS是一款开源的用PHP实现的内容管理系统,在业界被广泛使用。Drupal 目前支持超过100万个站点,而且在前1万个最流行站点中的占据约为9%市场份额。
2018年3月28日,Drupal官方发布新补丁和安全公告,称Drupal 6、7、8多个子版本存在远程代码执行漏洞(CVE-2018-7600)。目前漏洞相关的技术细节已经公开, 2018年4月13日凌晨有相应的漏洞利用验证程序在互联网上公开,奇安信威胁情报中心证实攻击方法可用,所以此漏洞已经构成较大的现实威胁。奇安信威胁情报中心特此通告提醒用户和企业尽快采取必要防御应对措施以保障网站的安全性和可用性。
漏洞概要
| 漏洞名称 | Drupal远程代码执行漏洞 |
| 威胁类型 | 远程代码执行 |
| 威胁等级 | 高 |
| 漏洞ID | CVE-2018-7600 |
| 漏洞利用条件 | 可远程访问Drupal站点即可。 |
| 漏洞利用场景 | 攻击者无需在目标站点上注册或认证,仅需访问存在漏洞站点的某个 URL 就可能控制网站。 |
| 受影响版本 | 确认受影响的型号: Drupal 6.x、7.x、8.x |
| 不受影响影响系版本 | Drupal 7.58、8.3.9、8.4.6、8.5.1 |
漏洞描述
Drupal是一种使用面非常广泛的PHP语言实现的内容管理系统。
Drupal 团队将这个漏洞命名为 “Drupalgeddon2”,漏洞编号是 CVE-2018-7600。攻击者无需在目标站点上注册或认证,所需要做的就是访问一个 URL。而且漏洞相关PoC已经于2018年4月13日凌晨在互联网公开并证实可用。
影响面评估
奇安信威胁情报中心已经确认公开的PoC利用代码有效,且该漏洞整体影响面较大(国内受影响站点数量相对较少,大多数受影响站点位于国外),综合分析威胁等级为__高__。此漏洞极有可能被用于大规模地获取对站点的控制,构建Botnet用于可能的挖矿、拒绝服务、勒索等恶意活动。
修复方法
升级版本:
推荐更新到Drupal相应的最新子版本
7.x版本,更新到 7.58
https://www.drupal.org/project/drupal/releases/7.58
8.5.x版本,更新到 8.5.1
https://www.drupal.org/project/drupal/releases/8.5.1
8.4.x 版本,更新到 8.4.6
https://www.drupal.org/project/drupal/releases/8.4.6
8.3.x 版本,更新到 8.3.9
https://www.drupal.org/project/drupal/releases/8.3.9
使用Patch处置措施:
如果不能立即更新,请使用对应版本的Patch文件进行修补。
8.5.x、8.4.x、8.3.x Patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
7.x Patch地址:
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
参考资料
https://www.drupal.org/sa-core-2018-002
https://groups.drupal.org/security/faq-2018-002
https://research.checkpoint.com/uncovering-drupalgeddon-2/
更新历史
| 时间 | 更新 |
| 2018年3月28日 | 初始报告 |
| 2018年3月28日 | 补充内容 |
| 2018年4月13日 | 增加确认PoC可用的内容,并公开发布安全通告 |