요약
- 신규 Drupal 취약점 발표 3일 후, 해당 취약점을 이용해 가상화폐 채굴, 기타 공격 구문 전송 움직임 포착
- Drupal은 미흡한 대응방안에 대해 추가(*로 표시) 권고 사항을 발표
*모든 Drupal 8 core RESTful 웹 서비스 모듈이 사용 가능으로 설정돼 있을 시 취약
*(GET 요청만 허용된 경우도 취약)
- 업데이트(*로 표시)된 대응 방안 :
(1) 버전 업데이트
1) Drupal 8.6.x -> Drupal 8.6.10
2) Drupal 8.5.x -> Drupal 8.5.11
3) Drupal core 업데이트 후 연관 프로젝트에 대한 보안 업데이트 실시
4) Drupal 7에 대한 core 업데이트는 불필요하나, 일부 Drupal 7관련 모듈은 업데이트가 필요함
Cf. Drupal 8.5.x 이전 버전의 Drupal 8은 서비스가 종료되어 관련 보안 서비스 제공 없음
(2) 즉각적인 대응
1) 모든 웹 서비스 모듈의 사용 불가능으로 설정
2 )웹 서비스 리소스에 대한 *GET/PUT/PATCH/POST 요청이 불가능으로 웹 서버를 설정.
관련 CVE정보
- CVE-2019-6340
- PoC : https://gist.github.com/leonjza/d0ab053be9b06fa020b66f00358e3d88/f9f6a5bb6605745e292bee3a4079f261d891738a
- 취약점 분석 : https://www.ambionics.io/blog/drupal8-rce
탐지룰 존재유무
IBM : HTTP_Drupal_Unserialize_Exec
영향성
취약버전 사용 시 반드시 업데이트 혹은 웹 서비스 리소스 설정 변경 필요
참고자료
Drupal : https://www.drupal.org/sa-core-2019-003
출처 : https://www.imperva.com/blog/latest-drupal-rce-flaw-used-by-cryptocurrency-miners-and-other-attackers/
https://www.securityweek.com/drupal-rce-flaw-exploited-attacks-days-after-patch
https://thehackernews.com/2019/02/drupal-hacking-exploit.html
'Incident Report' 카테고리의 다른 글
[2019.03.05] 북한, 미국과 정상회담 당시도 주요 기관 공격 (0) | 2019.03.21 |
---|---|
[2019.03.04] Cisco VPN 방화벽, 라우터 취약점 (CVE-2019-1663) 대상 포착 (0) | 2019.03.21 |
[2019.02.13] 실행파일/.exe파일 이용한 신종 Mac유저 타겟 멀웨어 등장 (0) | 2019.03.20 |
[2019.01.31] Cisco Korea 채용 공고를 이용한 한국인 대상 공격 (0) | 2019.03.20 |
[2019.01.24] PHP PEAR 패키지 메니저 해킹 (0) | 2019.03.19 |