Drupal CMS新安全漏洞预警

安全漏洞公告

2018年4月25日，Drupal官方发布了Drupal core存在远程代码执行漏洞的公告，对应CVE编号：CVE-2018-7602，漏洞公告链接：

https://www.drupal.org/sa-core-2018-004

根据公告，6.x、7.x、8.x版本的子系统存在严重安全漏洞，利用该漏洞可能实现远程代码执行攻击，从而影响到业务系统的安全性，该漏洞跟CVE-2018-7600一样已经被在野利用，建议尽快更新到新的版本。

同时，Drupal的分支版本Backdrop CMS在1.9.5之前的1.x.x版本也存在该漏洞，漏洞公告链接：

https://backdropcms.org/security/backdrop-sa-core-2018-004

另外，做为Backdrop CMS的分支版本Silkscreen CMS，在1.9.5.1之前的1.x.x版本也存在该漏洞，更新后的版本：

https://github.com/silkscreencms/silkscreen/releases/tag/silkscreen-1.9.5.1

其他分支版本同样也存在该漏洞，根据Drupal项目使用信息统计，显示全球有超过100万个网站在使用该产品，占到了已知CMS网站的大约9%，影响非常大。

漏洞问答

Q：该漏洞利用难度如何？

A:不难，只要攻击者能访问网站页面即可。

Q:利用该漏洞是否需要已知账号登陆的前提条件？

A:不需要，只要能访问网站页面即可。

Q:该漏洞利用成功是否可以获取系统文件或权限？

A:可以，取决于具体的攻击代码构造。

Q:针对该漏洞目前是否有攻击代码公开？

A:3月公告的CVE-2018-7600漏洞利用Drupalgeddon 2已经形成僵尸网络，此次漏洞的利用代码也已经被公开：

https://github.com/pimps/CVE-2018-7600/blob/master/drupa7-CVE-2018-7602.py

漏洞影响范围

CVE-2018-7602：远程命令执行漏洞影响Drupal及其各分支版本，包括Drupal CMS、Backdrop CMS、SilkscreenCMS等版本。

Drupal 6.x、7.x、8.x版本受影响：

Drupal 7.x版本建议更新到7.59以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/7.59

Drupal 8.5.x版本建议更新到8.5.3以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/8.5.3

Drupal 8.3.x版本建议更新到8.3.9以上版本，下载地址，仅修复CVE-2018-7600的漏洞，此次并未发布：

https://www.drupal.org/project/drupal/releases/8.3.9

Drupal 8.4.x版本建议更新到8.4.8以上版本，下载地址：

https://www.drupal.org/project/drupal/releases/8.4.8

注意：Drupal 8.3.x和8.4.x本身已不再受支持，但官方考虑到此漏洞的严重性，才提供了8.4.x版本的补丁，8.3.x版本没有提供，建议更新到8.5.x版本。

Drupal 6由于维护生命周期已经结束，官方已经不再提供安全更新补丁，参考链接：

https://www.drupal.org/project/d6lts

关于其他版本和疑问可以参考官方针对SA-CORE-2018-002的FAQ描述，同样适用于此次SA-CORE-2018-004：

https://groups.drupal.org/security/faq-2018-002

Backdrop 1.x版本受影响：

Backdrop 1.9.x版本建议更新到1.9.5以上版本，下载地址：

https://github.com/backdrop/backdrop/releases/tag/1.9.5

Backdrop 1.8.x版本建议更新到1.8.4以上版本，下载地址：

https://github.com/backdrop/backdrop/releases/tag/1.8.4

Backdrop 1.7.x版本建议更新到1.7.4以上版本，下载地址，仅修复CVE-2018-7600的漏洞，此次并未发布：

https://github.com/backdrop/backdrop/releases/tag/1.7.4

注意：Backdrop 1.8.x和Backdrop 1.7.x本身已不再受支持，但官方考虑到此漏洞的严重性，才提供了1.8.x的补丁，1.7.x版本没有提供，建议更新到1.9.x版本。

Silkscreen 1.x版本受影响：

Silkscreen 1.9.x版本建议更新到1.9.5.1以上版本，Silkscreen 1.8.x版本建议更新到1.8.4.1版本，Silkscreen 1.7.x版本建议更新到1.7.4以上版本（仅修复CVE-2018-7600的漏洞，此次并未发布），下载地址：

https://github.com/silkscreencms/silkscreen/releases

漏洞缓解措施

威胁等级

高危：目前漏洞细节和测试代码已经公开，强烈建议及时升级安全更新补丁，或是部署WAF等安全防护设备监控漏洞利用情况。

威胁推演：此漏洞为远程代码执行漏洞，基于全球使用该产品用户的数量，恶意攻击者可能会开发针对该漏洞的自动化攻击程序，实现漏洞利用成功后植入后门程序，并进一步释放矿工程序或是DDOS僵尸木马等恶意程序（3月公告的CVE-2018-7600漏洞的利用Drupalgeddon 2已经形成僵尸网络），从而影响到网站服务的正常提供

安全建议

Drupal组件历史上已经报过多个安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。