重要な Drupal コアの脆弱性: 知っておくべきこと

Drupalは、無料で使える人気の高いオープンソースのコンテンツマネジメントソフトウェアです。3月28日、DrupalセキュリティチームによりCVE-2018-7600のパッチがリリースされました。これは、認証されていないリモートコードを実行するために悪用できる、Drupalコアの脆弱性に対処するためのものです。この 脆弱性は、Drupalのバージョン6、7 および8に影響します。パッチはバージョン7.x、8.3.x、8.4.x、8.5.x向けにリリースされています。バージョン6または8.2.x以前を対象としたパッチのリリースは予定されていません。

影響の評価

Drupalのセキュリティアドバイザリーに、NIST Common Misuse Scoring Systemに基づくリスクスコアが記載されています。このリスクスコアから、さまざまな問題に伴うリスクを客観的に捉えることができます。この脆弱性SA-CORE-2018-002のリスクには、 21/25（極めて重大）のスコアが付与されています(AC:None/A:None/CI:All/II:All/E:Theoretical/TD:Default)。

Tenableでは、この脆弱性は大きな影響を及ぼすと予期しています。この脆弱性は、たった1つのHTTPリクエストだけでターゲットを悪用できるという点で、悪名高いStrutsの脆弱性と似ていますが、Strutsの場合とは異なり、あらゆるDrupalエンドポイントに影響を及ぼすと見られています。攻撃者はページにアクセスするだけでこの脆弱性を悪用することができ、特別な特権レベルは必要ないためです。

この脆弱性と、ターゲットインフラストラクチャの広範囲にわたる展開、不正利用の潜在的容易さを分析した結果を踏まえると、この注目を浴びる脆弱性に対する実際のエクスプロイトはかなりの速さで進化することが見込まれます。24 ～ 48時間以内にパッチを適用しないと、エクスプロイトが兵器化されると予測されています。Twitterはすでに、このトピックに関するツイートで持ちきりです。脆弱性のあるシステムには、直ちにパッチを適用する必要があります。

脆弱性の詳細

問題は、Drupalコアがリクエストのパラメーターを配列オブジェクトとして受け入れる点です。これは機能的には他の多くのフレームワークと何ら変わりはありません。しかし、悪意のあるユーザーがキーノートにペイロードを含めた配列オブジェクトをアプリケーションに渡した場合Drupalはこれをサニタイズせずに処理します。エクスプロイトの試みが成功すると、アプリケーションだけでなく基礎となるオペレーティングシステムのセキュリティさえも侵害される恐れがあります。

至急必要な措置とリソース

Drupalインストールに、直ちにパッチを適用してください。

Tenableでは、脆弱性のあるインストール環境を検出するためのプラグイン 108688、108695、108698および109041 をリリースしました。

Tenable.io Container Securityは、影響を受けるすべてのバージョンを検出します。また、自動スキャンの際は、既存のコンテナー内のすべてのDrupalインストールが検出されます。

詳細情報

• Drupalコアセキュリティアドバイザリ：https://www.drupal.org/sa-core-2018-002
• 最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、  Tenable.ioの詳細情報
• 今すぐTenable.io Vulnerability Managementの60日間無料トライアルをお試しください！