发布新Drupal漏洞的PoC漏洞再次使网站受到攻击

昨天宣布，新发现的漏洞（CVE-2018-7602）影响Drupal 7和8 core，并允许远程攻击者实现与之前发现的Drupalgeddon2（CVE-2018-7600）漏洞完全相同的漏洞，完全接管受影响的网站。

尽管Drupal团队尚未公布该漏洞的任何技术细节，以防止立即被利用，但两名黑客透露了一些细节，以及补丁发布几小时后的一次概念验证攻击。
如果你一直在积极阅读黑客新闻的每一篇最新报道，你一定知道Drupalgeddon2 PoC漏洞的发布是如何引起人们的广泛关注的，这最终使攻击者能够积极劫持网站，传播加密货币矿工、后门和其他恶意软件。

正如所料，Drupal团队已经警告说，新的远程代码执行漏洞，让我们参考一下Drupalgeddon3，现在正被广泛利用，再次使数百万网站容易受到黑客攻击。

在本文中，我简要介绍了这一新缺陷的含义，以及攻击者如何利用它来攻击运行未修补版本Drupal的网站。

Drupalgeddon3漏洞的攻击过程与Drupalgeddon2有点类似，只是它需要稍微不同的负载，以诱骗易受攻击的网站在受害者的服务器上执行恶意负载。

Drupalgeddon3驻留的原因是表单API（也称为“可渲染数组”）中的输入验证不正确，这会渲染元数据以输出Drupal中大多数UI（用户界面）元素的结构。这些可呈现数组是一种键值结构，其中属性键以散列符号（#）开头。
一位拥有handle@_dreadlock的Twitter用户解释说，表单API中的漏洞可以通过URL的“destination”GET参数触发，该参数在注册用户发起删除节点的请求时加载，其中，“节点”是指任何单个内容，例如页面、文章、论坛主题或帖子。

由于此“目标”GET查询参数还接受另一个URL（作为一个值）及其自己的GET参数，这些参数的值未经过消毒，因此它允许经过身份验证的攻击者诱骗网站执行代码。

我从另一位推特用户使用handle@Blaklis_发布的PoC漏洞中了解到，未初始化的值会传递stripDangerousValues函数，该函数过滤“#”字符，并且可以通过将“#”字符编码为“%2523”的形式来滥用。

该函数将“%2523”解码为“%23”，这是“#”的Unicode版本，并将被处理为在系统上运行任意代码，例如whoami实用程序。

起初，Drupal开发人员对使用Drupalgeddon3漏洞进行真正攻击的可能性持怀疑态度，但在出现了关于in the wild攻击的报告后，Drupal将问题的危险级别提高到了“高度关键”

因此，强烈建议所有Drupal网站管理员尽快将其网站更新为最新版本的软件。