Cloudflare Implanta Regra de Firewall para Bloquear Novas Explorações do Drupal

Tentativas de exploração de uma vulnerabilidade altamente crítica descoberta no software de gerenciamento de conteúdo Drupal (CMS) em 20 de fevereiro foram bloqueadas pela Cloudfare usando as regras do Web Application Firewall (WAF) criadas para proteger os sites de seus clientes de serem comprometidos.

De acordo com o alerta de segurança da equipe de projeto do Drupal , os sites afetados pela vulnerabilidade rastreada como CVE-2019-6340 são aqueles que têm o módulo RUPful Web Services (rest) do Drupal 8 ativado e também permitem solicitações PATCH ou POST.

Para evitar ter que pedir a cada um de seus clientes para atualizar suas instalações depois que uma versão corrigida foi lançada pelo Drupal no mesmo dia, a Cloudfare “identificou o tipo de vulnerabilidade” em 15 minutos, e eles “puderam implantar regras para bloquear a exploração bem antes de qualquer ataque real ser visto “.

Primeiro ataque observado 48 horas após a divulgação da vulnerabilidade

Depois de analisar detalhadamente o patch do Drupal, a equipe de segurança da empresa descobriu que uma potencial exploração seria baseada na desserialização, que pode ser abusada com a ajuda de um Objeto serializado criado com códigos maliciosos.

A pior parte foi que os invasores em potencial poderiam explorar o CVE-2019-6340 sem nenhum requisito de autenticação, permitindo que todos os dados do sistema fossem modificados ou excluídos.

Depois de vários ajustes, a Cloudfare acabou implantando uma regra WAF chamada D0020, que era muito eficaz em bloquear automaticamente invasores que tentavam explorar a vulnerabilidade altamente crítica presente em instalações Drupal sem patches.

Cloudfare diz que “A regra já estava implantada no modo ‘drop’ no momento em que nosso primeiro ataque foi observado por volta das 19h na sexta-feira, 22 de fevereiro de 2019, e até agora ele correspondeu a zero falsos positivos. Isso é menos de 48 horas do anúncio do Drupal “.

A regra do D0020 WAF

Enquanto no início, os agentes de ameaças só procuravam instalações Drupal vulneráveis ​​invocando remotamente comandos como phpinfo e executando cargas de teste, os ataques logo começaram a tentar baixar cargas úteis de backdoor projetadas para ajudar criminosos a manter seu acesso mesmo se o servidor tivesse foi corrigido mais tarde.

“O padrão que vimos aqui é bastante típico de uma vulnerabilidade recém-anunciada. […] Esta vulnerabilidade foi armada dentro de dois dias de divulgação, mas isso não é de forma alguma o menor período de tempo que vimos”, conclui Cloudfare .