您当前位置:首页 > 资讯中心 > 信息安全

Drupal 爆远程代码执行漏洞,腾讯云网站管家率先发布应对策略

关键字:Drupal,爆,远程代码,执行,漏洞,腾讯,云,网站管家,率先,发布,应对,策略

漏洞概要:

早前,知名 CMS 系统 Drupal 被官方宣称存在严重安全漏洞(漏洞编号:CVE-2018-7600)。

风险等级:官方定级为 “Highly Critical” 。

影响范围:Drupal 7.X、8.X 版本中的多个子系统。

漏洞危害

Drupal 是全球三大开源内容管理系统 CMS 平台之一,被广泛应用于构造各种不同应用的网站项目。

攻击者利用该漏洞对受影响版本的 Drupal 网站发动攻击,无需登录认证即可直接执行任意命令,包括下载重要文件,修改页面,上传 Webshll,篡改页面或进行挖矿等行为。最终可接管站点,而管理员还毫不知情。

4月13日,网上公开了针对该漏洞的攻击命令。以下是云鼎实验室对该漏洞的详细技术分析。

漏洞分析

Drupal 在 3 月 28 日爆出一个远程代码执行漏洞,CVE 编号 CVE-2018-7600,通过对比官方的补丁,可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊处理,比如如下的数组:

比如 #prefix 代表了在 Render 时元素的前缀,#suffix 代表了后缀。

通过查阅 Drupal 的代码和文档,可以知道,对于 #pre_render,#post_render、#submit、#validate 等变量,Drupal 通过 call_user_func 的方式进行调用。

在 Drupal 中,对于 #pre_render 的处理如下:

所以如果我们能将这些变量注入到 $form 数组中,即可造成代码执行的问题。

但是由于 Drupal 代码复杂,调用链很长,所以导致了所谓“开局一个 #,剩下全靠猜”的尴尬局面,即使知道了漏洞触发点,但是找不到入口点一样尴尬。直到昨日,CheckPoint 发布了一篇分析博客,我才注意到原来 Drupal 8.5 提供了 Ajax 上传头像的点,并且明显存在一个 $form 数组的操纵。在已经知道触发点的情况下,构造剩下的 PoC 就非常容易了。

PoC 构造

CheckPoint 提供的截图显示,是在 Drupal 8.5.0 注册处,漏洞文件为:

\core\modules\file\src\Element\ManagedFile.php

代码如下:

代码第五行,取出 $_GET["element_parents"] 赋值给$form_parents,然后进入NestedArray::getValue 进行处理:

NestedArray::getValue 函数的主要功能就是将 $parents 作为 key path,然后逐层取出后返回。举个例子,对于数组:

及 $parents:a/b/c,最后得到的结果为 456。

查看一下在正常上传中,传入的 $form:

似乎 #value 是我们传入的变量,尝试注入数组:

发现成功注入:

那么通过 NestedArray::getValue 函数,可以传入 element_parents 为 account/mail/#value,最后可以令 $form 为我们注入的数组:

在 Render API 处理 #pre_render 时候造成代码执行:

Exploit 构造

虽然实现了代码执行,但是 #pre_render 调用的参数是一个数组,所以导致我们不能任意的执行代码。不过 Render API 存在很多可以查看的地方,通过翻阅 Renderer::doRender 函数,注意到 #lazy_builder:

#lazy_builder 是一个 array,其中元素 0 为函数名,元素 1 是一个数组,是参数列表。接着利用 call_user_func_array 进行调用。不过注意到上方这段代码:

意思为传入的 $elements 数组中不能存在除了 $supported_keys 之外的 key,常规传入的数组为:

比要求的数组多了 #suffix 和 #prefix。不过 Render API 有 children element 的说法:

当数组中的参数不以 # 开头时,会当作 children element 进行子渲染,所以我们传入 mail[a][#lazy_builder] ,在进行子渲染的过程中,就会得到一个干净的数组,最终导致命令执行。

其他版本

本文分析的是 Drupal 8.5.0,对于 8.4.x,在注册时默认没有上传头像处,但是也可以直接进行攻击,对于 Drupal 7,暂时未找到可控点。

参考

https://research.checkpoint.com/uncovering-drupalgeddon-2/

应对策略

为避免攻击者进行批量利用从而造成更大影响,腾讯云安全团队对云上与企业用户做了以下两个应对策略:

一、如果您 Drupal 服务为官方源码方式安装,腾讯云安全团队建议升级更新。

1)Drupal 7.x版本:更新到Drupal 7.58 版本或者应用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

2)Drupal 8.5.x版本:更新到Drupal 8.5.1 版本或应用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

3)Drupal 8.3.x:建议更新到 Drupal 8.3.9 版本或应用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

4)Drupal 8.4.x: 建议更新到 Drupal 8.4.6 版本或应用补丁:

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

二、部署腾讯云网站管家 WAF 服务

腾讯云网站管家 WAF 早在该漏洞公布后,第一时间更新防御规则,已经部署腾讯云网站管家服务的用户将不受此漏洞的威胁影响。

腾讯云网站管家 WAF,了解一下

主动监测并及时发现高危 Web 漏洞,0day 漏洞;腾讯安全团队7x24小时持续响应 0day 漏洞,紧急漏洞问题;12h 内更新高危漏洞防护补丁,24h 内更新常见通用型漏洞防护补丁;网站管家云端自动升级针对漏洞的攻击防护策略,全球秒级同步下发;




 

大势至局域网上网控制软件、电脑机密文件防泄密软件、服务器共享权限设置软件列表!
 

大势至公司是国内最早从事上网行为管理软件、电脑文件防泄密系统、服务器共享文件权限管理软件研发的厂家,目前公司旗下核心产品涵盖了从网络监控软件到信息安全防护软件和商业机密防泄密软件等领域,可以为企业提供整体的、一站式网络管理解决方案。


一、大势至USB端口禁用软件(电脑文件防泄密系统)(点击详细了解:http://www.grabsun.com/monitorusb.html
 
一款专门禁用U口、禁用USB端口的软件,可以有效屏蔽U盘、屏蔽USB存储设备的使用;同时还可以只让使用某些U盘,只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件,或者必须输入密码才可以向U盘复制文件;同时,还可以禁止电脑发邮件(只让登录公司邮箱)、禁止网盘上传文件、禁止FTP文件上传、禁止QQ发送文件以及禁止FTP文件上传,防止各种途径泄密;此外,本系统还可以禁止蓝牙、禁止无线网卡使用、禁用随身wifi等,防止网络不适当扩展。如下图所示:
 
 
 
图:大势至电脑文件防泄密系统
 
二、大势至共享文件权限管理软件(点击详细了解:http://www.grabsun.com/gongxiangwenjianshenji.html
 
一款专门的局域网共享文件管理软件、共享权限设置软件,只需要在共享文件服务器上安装之后,就可以设置服务器共享文件权限,可以只让修改共享文件而禁止删除共享文件、只让读取共享文件而禁止拷贝共享文件、只让打开共享文件而禁止另存为本地磁盘,以及禁止拖动共享文件以及禁止打印共享文件等,全面保护共享文件的安全。此外,本系统还可以详细记录服务器共享文件访问日志记录,便于管理员事后备查和审计。如下图所示:

 
 
图:大势至共享文件权限管理软件
 
 
三、大势至局域网接入控制系统(点击详细了解:http://www.grabsun.com/wailaidiannaokongzhi.html
 
一款专门的局域网网络准入控制系统,基于B/S架构,只需要在局域网一台电脑安装,就可以控制外部电脑、手机和平板电脑接入,防止外来移动设备访问局域网共享文件、禁止外来移动设备接入wifi上网、进行IP和MAC地址绑定,同时防止局域网ARP攻击,禁止局域网代理上网,检测局域网混杂网卡,防止网络嗅探和网络抓包等,全面保护局域网网络安全。如下图所示:
 
 
图:大势至网络准入控制系统

 
四、聚生网管局域网流量监控软件(点击详细了解:http://www.grabsun.com/wangguan.html
 
是一款面向企事业单位的网络监控软件、局域网限速管理软件,只需要在局域网一台电脑部署,就可以扫描到局域网所有电脑,并可以看到所有电脑的带宽流量,可以实时限制电脑网速、分配网络带宽,屏蔽网页视频、屏蔽股票软件、禁止电脑玩游戏、屏蔽网页游戏、禁止局域网下载、禁止迅雷下载以及禁止无线路由器接入、禁止手机连接wifi等。此外,还可以控制网页浏览、禁止电脑上网等,提供全方位的上网行为管理管理。如下图所示:
 
 
 
图1:聚生网管局域网限速软件
 
 
图:聚生网管局域网带宽分配软件
 


图:聚生网管禁止电脑上网、网页浏览控制功能
 

此外,大势至公司凭借在上网行为过滤、数据防泄漏领域多年的技术积累,以及公司强大的研发实力,可以实时为用户定制开发各种网络安全管理、信息安全防泄密功能,可以为企业提供个性化的、实时的局域网上网管理和信息安全过滤功能,真正帮助企事业单位实现局域网网络行为控制的目的。


 
作者:Grabsun - 发布时间:2018-04-16 - 点击量:1148
公司简介:大势至公司是国内最早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
收缩

售前咨询

  • 电话:010-82825512
  • 电话:010-82825051
  • 电话:010-82825052
  • 电话:010-62656060

技术支持

  • 电话:010-82825062