해커들, 사이트 관리자들에 패치 할 시간을 주지 않고 새로운 Drupal 결점 악용하기 시작 해

Hackers Don't Give Site Owners Time to Patch, Start Exploiting New Drupal Flaw Within Hours

Drupal 팀이 보안 업데이트를 발행한 지 5시간 후, 해커들은 이 패치 된 취약점을 무기화 하는 방법을

발견해 실제로 적극적으로 악용하고 있는 것으로 밝혀졌습니다.

이 취약점은 엄청나게 악용 되었으며 지난 달 패치 된 Drupalgeddon2 (CVE-2018- 7600)와는 다른 보안

이슈입니다. 이 이슈는 CVE-2018- 7602으로 등록 되었으며, 금일 패치 되었습니다.

해커들이 2주 후부터 악용하기 시작했던 Drupalgeddon2와 달리, 이들은 CVE-2018- 7602를 즉시 악용하기 시작했습니다. Drupal의 보안팀은 패치를 발행한 지 5시간만에 공격들을 감지했다고 밝혔습니다.

Drupal 팀, CVE-2018- 7602로 인해 문제가 생길 것이라 추측해

Drupal 팀은 이 결점이 심각한 문제를 일으킬 것이라는 것을 인지하고 있었으며, 지난 월요일 금일 발행

될 패치에 대한 내용을 발표했습니다.

이는 웹사이트 오너들에게 미리 경고하기 위함이었습니다. Drupal 팀은 “몇 시간, 또는 수 일 내에

익스플로잇이 개발 될 위험이 있다”고 밝혔습니다.

결국 Drupal 팀이 말한 대로, 사이트 오너들이 사이트를 패치 하기도 전에 해커들은 CVE-2018- 7602를

단 몇시간 내에 악용하기 시작했습니다.

CVE-2018- 7602 취약점, Drupalgeddon2의 자식격으로 밝혀져

해커들이 악용한 결점은 Drupal 7.x와 8.x 버전 모두에 영향을 미치는 원격 코드 실행 (RCE) 버그입니다. 이 취약점은 Drupal의 심각도 등급 25만점에 20점을 기록했습니다. 이를 악용하면 공격자가 사이트를 완전히 제어할 수 있게 됩니다.

Drupal의 개발자들은 Drupalgeddon 2 취약점을 조사하던 중 CVE-2018- 7602 취약점을 발견 했으며, 이 두 취약점은 서로 연결 되어 있다고 밝혔습니다.

이 두 결함은 Drupal이 URL의 “#”문자를 처리하는 방식에 존재합니다. 이는 “#”문자를 통해 제공 되는 파라미터의 입력을 제대로 검사하지 않았기 때문에 발생합니다.

Drupal 팀은 CVE-2018- 7602를 패치 하기 위해 Drupal v7.59, v8.4.8, v8.5.3를 발표했습니다.

패치가 발표된 후 7시간 만에 실제로 이를 악용한 공격이 제보 되었으며, 이후 2시간 만에 Blaklis라는 사용자가 CVE-2018- 7602를 악용하여 무기화한 PoC 코드를 Pastebin에 공개했습니다.

이 코드가 공개되었기 때문에, 공격자들이 Drupal 사이트들을 해킹하기 더욱 쉬워질 것입니다. 이로 인해 백도어, 코인 채굴기, 웹 기반 랜섬웨어, 기술 지원 사기 등과 같은 공격들이 이루어질 것으로 예상 됩니다.

일부 사용자들은 이 버그를 Drupalgeddon3으로 명명했습니다.

출처 :

https://www.bleepingcomputer.com/news/security/hackers-dont-give-site-owners-time-to-patch-start-exploiting-new-drupal-flaw-within-hours/