Chuyên mục
Lỗ Hổng Bảo Mật

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal.

Các nỗ lực khai thác lỗ hổng nghiêm trọng được phát hiện trong phần mềm quản lý nội dung (CMS) Drupal vào ngày 20 tháng 2 đã bị Cloudfare chặn bằng cách sử dụng các rules Tường lửa ứng dụng Web (WAF) được thiết kế để bảo vệ trang web của khách hàng khỏi bị xâm phạm.

Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal – CyberSec365.org
Theo tư vấn bảo mật của nhóm dự án Drupal, các trang web bị ảnh hưởng bởi lỗ hổng có mã hiệu là CVE-2019-6340 là những trang web đã bật mô-đun RESTful Web Services (rest) của Drupal và cũng cho phép các yêu cầu PATCH hoặc POST.
Để tránh phải yêu cầu mỗi khách hàng của họ cập nhật cài đặt sau khi phiên bản vá được Drupal phát hành cùng ngày, Cloudfare “đã xác định loại lỗ hổng” trong vòng 15 phút họ “có thể triển khai các quy tắc để chặn khai thác tốt trước khi bất kỳ cuộc tấn công nào nhắm vào lỗ hổng này. “

Cuộc tấn công đầu tiên vào lỗ hổng này xuất hiện chỉ 48 giờ sau khi lỗ hổng bị tiết lộ

Sau khi phân tích sâu bản vá của Drupal, nhóm bảo mật của công ty đã phát hiện ra rằng việc khai thác tiềm năng sẽ dựa trên quá trình deserialization có thể bị lạm dụng với sự trợ giúp của maliciously crafted serialized Object.
Điều tồi tệ nhất là những kẻ tấn công có thể khai thác lỗ hổng CVE-2019-6340 mà không cần bất kỳ yêu cầu xác thực nào, cho phép tất cả dữ liệu trên hệ thống được sửa đổi hoặc xóa.
Sau nhiều lần điều chỉnh, Cloudfare cuối cùng đã triển khai quy tắc WAF mà họ đặt tên là D0020, rất hiệu quả trong việc tự động chặn những kẻ tấn công đang cố gắng khai thác lỗ hổng cực kỳ nghiêm trọng có trong các bản cài đặt Drupal chưa được vá.
Cloudflare triển khai rule mói để ngăn chặn khai thác vào các lỗ hổng của Drupal - CyberSec365.org

Theo nhóm bảo mật của Cloudflare, lúc đầu, các tác nhân đe dọa chỉ thăm dò các phiên bản Drupal  bằng cách gọi từ xa các lệnh như phpinfo và thực hiện tải trọng thử nghiệm, các cuộc tấn công đã sớm cố gắng giảm tải trọng cửa sau được thiết kế để giúp kẻ gian duy trì quyền truy cập của họ ngay cả khi máy chủ đã đã được vá sau này.

Nguồn: Bleeping Computer

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *