Специалисты по кибербезопасности вновь обращают внимание на критическую уязвимость в популярной системе управления контентом (CMS) Drupal. Несмотря на то, что проблема, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-04575, была выявлена и устранена в 2018 году, её присутствие в устаревших системах представляет серьёзную опасность. Уязвимость позволяет удалённому злоумышленнику выполнить произвольный код на сервере, что является одной из наиболее опасных угроз для веб-приложений.
Детали уязвимости
Данная уязвимость, получившая идентификатор CVE-2018-7602, классифицируется как критическая. Согласно системе оценки CVSS, её базовый балл достигает 9.8 из 10 по версии 3.x. Высокий рейтинг обусловлен простотой эксплуатации и максимально серьёзными последствиями. Проблема кроется в ядре CMS Drupal и связана с некорректным управлением генерацией кода. Технически это ошибка типа CWE-94, известная как "Injection" (инъекция). Таким образом, атакующий может внедрить и выполнить произвольные команды на целевом сервере.
Уязвимость затрагивает широкий спектр версий Drupal. В частности, под угрозой находятся версии с 7.0 по 7.59, а также ветки 8.x от 8.0.0 до 8.4.8 и от 8.5.0 до 8.5.3. Важно отметить, что проблема также распространилась на пакеты в дистрибутивах Debian GNU/Linux, которые включали уязвимые версии Drupal. Следовательно, под угрозой оказались системы Debian 7, 8 и 9 с определёнными версиями пакетов. Этот факт расширяет потенциальный круг затронутых систем.
С момента обнаружения уязвимости в апреле 2018 года разработчики Drupal оперативно выпустили исправления. Сообщество проекта опубликовало подробный бюллетень безопасности SA-CORE-2018-004, содержащий инструкции по обновлению. Аналогично, команды сопровождения Debian выпустили обновлённые пакеты для стабильных и долгосрочно поддерживаемых веток своей операционной системы. Соответственно, основной и единственно надёжный способ устранения угрозы - это установка последних патчей.
Однако ключевой проблемой остаётся факт существования публичного эксплойта. Рабочие коды для эксплуатации CVE-2018-7602 были опубликованы в открытых источниках, например, в базе данных Exploit-DB. Это значительно снижает порог входа для киберпреступников. В результате даже не очень опытные злоумышленники могут попытаться атаковать незащищённые сайты. Более того, уязвимость позволяет добиться устойчивости (persistence) в системе, что даёт возможность долгосрочного контроля.
Потенциальные последствия успешной атаки крайне серьёзны. Злоумышленник может полностью скомпрометировать веб-сервер. В частности, возможна кража конфиденциальных данных, установка вредоносного ПО или шифровальщика (ransomware), а также использование сервера в качестве плацдарма для атак на другие системы внутри сети. Поэтому данная уязвимость представляет интерес не только для случайных хакеров, но и для организованных групп, включая APT.
Агентство кибербезопасности и инфраструктуры США (CISA) включило CVE-2018-7602 в свой каталог известных эксплуатируемых уязвимостей. Это означает, что угроза считается активно используемой в реальных атаках. Следовательно, CISA настоятельно рекомендует федеральным агентствам и частным организациям приоритизировать её устранение в сжатые сроки. Данная рекомендация служит важным индикатором продолжающейся актуальности проблемы.
Для администраторов и владельцев сайтов на Drupal критически важно проверить версию установленной CMS. Если система работает на одной из уязвимых версий, необходимо немедленно обновиться до актуальной и защищённой сборки. Процесс обновления описан в официальной документации Drupal. Кроме того, следует проверить и обновить пакеты в системах на базе Debian, если Drupal был установлен через менеджер пакетов этой операционной системы. В качестве дополнительных мер защиты эксперты рекомендуют регулярно проводить аудит безопасности. Например, полезно использовать средства мониторинга файловой системы на предмет несанкционированных изменений. Также стоит рассмотреть внедрение решений класса WAF, которые могут блокировать попытки эксплуатации известных уязвимостей. Однако эти меры носят вспомогательный характер и не заменяют своевременного обновления.
Подводя итог, история с CVE-2018-7602 является классическим примером "вечной" проблемы безопасности. Хотя патч был выпущен шесть лет назад, необновлённые системы остаются уязвимыми. Поскольку эксплойты общедоступны, риск эксплуатации по-прежнему высок. Следовательно, базовые практики кибергигиены, такие как своевременное обновление программного обеспечения, остаются самым эффективным способом защиты от подобных критических угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-04575
- https://www.cve.org/CVERecord?id=CVE-2018-7602
- https://www.exploit-db.com/exploits/44542
- https://www.exploit-db.com/exploits/44557
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-7602
- https://www.drupal.org/sa-core-2018-004
- https://lists.debian.org/debian-security-announce/2018/msg00107.html
- https://lists.debian.org/debian-lts-announce/2018/04/msg00030.html
