03. 11. 2014

Drupal je třetí nejvyužívanější open source softwarový systém pro správu obsahu webových stránek. Dne 15. 10. 2014 byla zveřejněna zranitelnost tohoto systému a již 7 hodin po zveřejnění došlo k hromadným útokům na webové stránky, které dosud nebyly proti zranitelnosti ošetřeny. Bezpečnostní tým Drupalu vydal oznámení, ve kterém apeluje na uživatele, aby zabezpečili svoje systémy před možným SQL injection útokem. Instalace patche však chrání pouze před budoucími útoky, je proto třeba ověřit, zda uživatelův systém nebyl napaden v době před aktualizací systému.

Charakteristika zranitelnosti

Drupal 7 obsahuje database abstraction API, které zajišťuje, že dotazy na databázi jsou sanitizované, čímž by mělo být zabráněno útokům typu SQL injection. Chyba v tomto zabezpečení však umožňuje útočníkům odeslat speciálně vytvořené požadavky, které umožňují nežádoucí zvýšení práv uživatele, spuštění nežádoucích skriptů nebo jiných útoků.

Postižené systémy

Systémy Drupal v7.x předcházející v7.32, které nebyly aktualizované nebo záplatované do 15. 10. 2014 23:00 UTC.

Dopad zranitelnosti

Kompromitace webových stránek, možná ztráta dat, spuštění nežádoucího PHP skriptu, instalace backdoor pro pozdější vzdálený přístup k napadenému systému pro správu webových stránek.

Řešení

Doporučeno upgradovat na Drupal v7.32 a nainstalovat patch. Pokud se stránky jeví jako napadnuté (například nelze provést instalaci patche), je třeba nejprve přepnout stránky do off-line módu, vrátit se k záloze systému z doby před 15. 10. 2014 a poté provést upgrade na verzi 7.32.

CVE

CVE-2014-3704
PSA-2014-003

Odkazy

http://blog.codeguard.com/cve-2014-3704/
https://www.drupal.org/PSA-2014-003
https://www.drupal.org/SA-CORE-2014-005
http://securityaffairs.co/wordpress/29736/cyber-crime/drupal-critical-sql-injection.html