На днях в старых версиях Drupal была обнаружена очередная дыра безопасности. На самом деле их несколько, но их объединили под одно ид: SA-CONTRIB-2017-029
Уязвимость находится не в самом ядре, а в модуле, поэтому первым делом проверьте и запретите в сервисах галочку "application/vnd.php.serialized"
Для данной критической уязвимости командой друпала был выпущен оперативно патч. Так как ядро изменения не затрагивает, необходимо всего лишь обновить сервисы до "Services 7.x-3.19". Данному эксплоиту были подвержены сайты, использующие модуль сервисов - стандартизированное решение для постройки API.
Дыра присуща версиям друпала 7.x
По умолчанию включены следующие опции:
- application/xml
- application/json
- multipart/form-data
- application/vnd.php.serialized
Как было сказано, уязвимы именно сериализованные данные - поэтому если Вы их не используете на сайте, то смело отключайте!
При эксплуатации уязвимости мы можем воспользоваться SQL атакой и получить, к примеру, хеш администратора. Думаю дальше ход взлома многим знаком, подменяются куки, мы авторизованы как суперпользователь и в админке уже можем загрузить какой вредоносный код под видом дополнения на сайт.
С другой стороны, зачем извращаться, если нам доступно удаленное исполнение кода - можно загрузить файл напрямую и делать что душе захочется. Как оно работает? В друпале если таблицы кеша, которые хранят сериализованные данные. Надеюсь направление атаки поняли.
Поэтому рекомендую всем обновиться и поставить заплатку, так как уже поступают жалобы на взлом сайтов. Если же не успели позаботиться о безопасности, то следует проверить сайт на вирусы и вычистить посторонний код.