Οι χρήστες του Drupal, ενημερώθηκαν χθες από τους προγραμματιστές του ότι η έκδοση 8.7.4 επηρεάζεται από μια σοβαρή ευπάθεια και τους ζητήθηκε να το ενημερώσουν στην έκδοση 8.7.5, η οποία αντιμετωπίζει το πρόβλημα.
Η ευπάθεια, η οποία ονομάζεται CVE-2019-6342, έχει χαρακτηριστεί ως «κρίσιμης» σοβαρότητας. Οι προγραμματιστές του Drupal, χρησιμοποιούν το NIST’s Common Misuse Scoring System για τον προσδιορισμό του επιπέδου κινδύνου μίας ευπάθειας. Αυτό σημαίνει ότι ο χαρακτηρισμός ως «κρίσιμο» είναι δεύτερος στην κλίμακα επικινδυνότητας, μετά το «πολύ κρίσιμο».
Το ελάττωμα, που περιγράφεται ως πρόβλημα παράκαμψης πρόσβασης, μπορεί να πυροδοτηθεί όταν είναι ενεργοποιημένη η πειραματική ενότητα Workspaces και να εκμεταλλευτεί για να πάρει τον έλεγχο ενός ιστότοπου.
Ο Dave Botsch ήταν εκείνος που ανακάλυψε και υπέδειξε την ευπάθεια στους προγραμματιστές του Drupal και ως τώρα δεν υπάρχει καμία ένδειξη εκμετάλλευσής της για κακόβουλους σκοπούς. Ωστόσο, αυτό το κενό ασφαλείας θα μπορούσε να είναι ένας δελεαστικός στόχος για τους hackers, καθώς επηρεάζει τις προεπιλεγμένες / συνήθεις διαμορφώσεις, δεν απαιτείται πιστοποίηση ταυτότητας και η εκμετάλλευση απαιτεί ελάχιστη αλληλεπίδραση με το χρήστη.
Το ελάττωμα επηρεάζει μόνο το Drupal 8.7.4. Οι εκδόσεις Drupal 8.7.3 και παλιότερες, 8.6.x και παλιότερες και 7.x δεν επηρεάζονται. Οι χρήστες που δεν μπορούν να ενημερώσουν στην έκδοση 8.7.5 για να διορθώσουν την ευπάθεια, μπορούν να αποτρέψουν τις πιθανές επιθέσεις απενεργοποιώντας τη λειτουργική μονάδα Workspaces.
Το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) συμβουλεύει τους χρήστες να διαβάσουν τις συστάσεις του Drupal και να λάβουν τα απαραίτητα μέτρα.
Η εκμετάλλευση ευπαθειών του Drupal, δεν είναι κάτι καινούριο. Νωρίτερα φέτος, οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το ελάττωμα CVE-2019-6340, για να διαμοιράσουν cryptocurrency miners και άλλα payloads, μόλις λίγες ημέρες μετά την απελευθέρωση μιας ενημερωμένης έκδοσης κώδικα.
Επίσης την περασμένη χρονιά hackers εκμεταλλεύτηκαν δύο ευπάθειες γνωστές ως Drupalgeddon2 και Drupalgeddon3. Οι επιτιθέμενοι χρησιμοποίησαν τις ευπάθειες για να διαμοιράσουν RATs, cryptocurrency miners και απάτες τεχνικής υποστήριξης.
