Ново Firewall правило, въведено от Cloudflare, за да блокира нови Drupal експлойти
Опитите за експлоатация на критична уязвимост, открити в софтуера за управление на съдържанието на Drupal (CMS) на 20 февруари, бяха блокирани от Cloudfare, използвайки правила за Web Application Firewall (WAF), предназначени да предпазват уебсайтовете на клиентите си от компрометиране.
Според препоръките на Drupal за екипа по сигурността на уебсайтовете, сайтовете, засегнати от уязвимостта, проследена като CVE-2019-6340, са тези, които са включени в модула Drupal 8 RESTful Web Services, а също така позволяват PATCH или POST заявки.
За да не се налага всеки един от клиентите да актуализира инсталациите си след като Drupal пусна пач в същия ден, Cloudfare „е идентифицирал вида на уязвимостта“ в рамките на 15 минути и те са създали нови правила, за да блокират експлойта преди да има и една реална атака.
Първата атака се наблюдава 48 часа след разкриване на уязвимостта
След задълбочено анализиране на пача на Drupal, екипът по сигурността на компанията откри, че потенциалният експлойт ще се основава на десериализация, която може да бъде злоупотребена с помощта на злонамерено изработен сериализиран обект.
Най-лошото е, че потенциалните нападатели могат да използват CVE-2019-6340 без никакви изисквания за удостоверяване, като позволяват всички данни в системата да бъдат модифицирани или изтрити.
След многобройни настройки, Cloudfare накрая разгърна WAF правило, което нарече D0020, което беше много ефективно при автоматично блокиране на нападателите, които се опитваха да използват изключително критичната уязвимост, присъстваща в неподписаните Drupal инсталации.
Cloudfare казва, че „Правилото вече е разгърнато в дроп режим до момента, в който първата ни атака е била наблюдавана около 19:00 UTC в петък, 22 февруари 2019, и до този момент (48 часа след съобщението на Drupal) няма нито един false positive.“
Докато първоначално участниците в заплахата само изследваха уязвимите инсталации на Drupal чрез отдалечено извикване на команди като phpinfo и изпълняваха тестови натоварвания, атаките скоро започнаха да се опитват да изпуснат товар, предназначен да помогне на мошениците да запазят достъпа си дори ако сървърът по-късно блъде пачнат.
„Моделът, който видяхме тук, е доста типичен за наскоро обявената уязвимост. [..] Тази уязвимост е защитена в рамките на два дни от разкриването, но това в никакъв случай не е най-краткият период, който сме виждали“, заключава Cloudfare.
Източник: По материали от Интернет.