Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Критическая уязвимость затрагивает все версии популярной системы управления контентом Drupal. Эта брешь может быть использована для получения полного контроля над уязвимыми сайтами. Эксперты полагают, что эта дыра в безопасности может стать такой же значимой, как Drupalgeddon.

Оказалось, что миллионы сайтов в опасности, так как уязвимость распространяется на версии 6, 7 и 8, о чем сообщает специалист Джаспер Маттссон (Jasper Mattsson). Проблема отслеживается под идентификатором CVE-2018-7600.

Для эксплуатации бреши нужен всего лишь доступ к странице уязвимого сайта. Удачная атака позволит злоумышленнику получить полный контроль над сайтом, включая доступ к непубличным данным и возможность удаления или изменения системных данных.

С выходом версий 7.58, 8.5.1, 8.3.9 и 8.4.6 уязвимость была устранена. Даже несмотря на то, то версия Drupal 6 давно не поддерживается, разработчики все равно выпустили патч и для нее, настолько серьезна уязвимость.

Помимо обновления своих инсталляций до последней версии, пользователи могут защитить свои сайты от атак, внеся некоторые изменения в конфигурацию сайта. Однако эти изменения, по заявлениям разработчиков, довольно «радикальны».

«Существует несколько решений, но все они основаны на идее не предоставлять посетителям доступ к уязвимым страницам. Временная замена вашего сайта Drupal статической HTML-страницей является эффективным решением», — объясняют разработчики Drupal.

Технические детали бреши не были опубликованы, однако эксперты полагают, что соответствующие эксплойты будут доступны в течение нескольких дней.

Напомним, ране мы писали, что компания Drupal объявила о своих планах выпустить обновления безопасности для версий движка Drupal 7.x, 8.3.x, 8.4.x и 8.5.x.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru