Сообщество Drupal выпустило рекомендации по противодействию высоко критической уязвимости SA-CORE-2014-005

15 октября команда безопасности Drupal опубликовала бюллетень с высоко критической уязвимостью SA-CORE-2014-005 (CVE-2014-3704), которой могут быть подвержены абсолютно все сайты на Drupal 7. Позавчера команда опубликовала рекомендации по устранению проблемы.

Высоко критическая уязвимость в Drupal 7 / Иллюстрация с сайта nixp.ru

В Drupal Core обнаружили критическую уязвимость, позволяющую выполнить SQL-инъекцию от анонимного пользователя. Злоумышленники начали эксплуатировать уязвимость в автоматическом режиме спустя несколько часов, атаки направлены на сайты, использующие Drupal ниже 7.32 и без установленного патча. Команда безопасности рекомендует всем вебмастерам исходить из предпосылки, что скомпрометирован каждый сайт на Drupal 7, который не был обновлён или пропатчен в течение 7 часов с момента публикации уязвимости, то есть до 23 часов (UTC) 15 октября или 3 часов 16 октября (UTC+4, МСК).

Чтобы устранить эту уязвимость, вебмастеру необходимо немедленно обновить Drupal до версии 7.32 или наложить патч, если обновление невозможно. Однако обновление не поможет, если сайт уже скомпрометирован. Также наблюдается ситуация, когда злоумышленники обновляют сайт, чтобы скрыть следы взлома и создать иллюзию контроля над сайтом. При взломе, атакующая сторона получает доступ ко всем данным и может их скопировать, эту атаку сложно обнаружить. В документации подробно описано, как можно поступить с сайтом, в случае заражения.

Также злоумышленники могли заложить бэкдоры на сайт, модифицировать код или файлы на сервере, скомпрометировать другие сервисы и повысить привилегии. Т.к. обнаружить все возможные бэкдоры — это очень сложная задача, команда безопасности Drupal рекомендует создать сайт «с нуля» или восстановить резервную копию сайта не позднее 16 часов (UTC) 15 октября, чтобы избежать части этих последствий. Подробнее об этом написано в рекомендациях.

Никита Лялин по материалам Drupal.Org, Drupal.Org.