Switch Language
New Compliance, Security Capabilities for Acquia Cloud
04.17.2018
Thumbnail Posted by
Dries Buytaert

Acquia blocks 500 000 tentatives d'attaque pour sa-Core-2018-002

Le 28 mars, l'équipe de sécurité Drupal a publié une correction de bogue pour une vulnérabilité de sécurité critique, nommée sa-Core-2018-002. Au cours de la semaine écoulée, divers exploits ont été identifiés, car les attaquants ont tenté de compromettre les sites Drupal non patchés. Les pirates continuent d'essayer d'exploiter cette vulnérabilité, et l'équipe de sécurité d'Acquia a observé plus de 100 000 attaques par jour.

La vulnérabilité de sécurité sa-Core-2018-002 est extrêmement critique; Il permet à un attaquant non authentifié d'effectuer l'exécution de code à distance sur la plupart des installations Drupal. Lorsque l'équipe de sécurité Drupal a mis à disposition le correctif de sécurité, il n'y a pas eu d'exploits ou d'attaques publiquement connus contre sa-Core-2018-002.

Cela a changé il y a six jours, après que Checkpoint Research a fourni une explication détaillée du bogue de sécurité sa-Core-2018-002, en plus des instructions pas à pas qui expliquent comment exploiter la vulnérabilité. Quelques heures après le post de Checkpoint Research sur le blog, Vitalii Rudnykh, un chercheur de sécurité russe, a partagé un exploit de la preuve de concept sur GitHub. Plus tard dans la journée, l'équipe de sécurité d'Acquia a commencé à assister à des tentatives d'attentat.

L'article de Checkpoint Research et le code de la preuve de concept de Rudnykh ont engendré de nombreux exploits, qui sont écrits dans différents langages de programmation tels que Ruby, bash, Python et plus encore. En conséquence, le nombre d'attaques a considérablement augmenté au cours des derniers jours.

Heureusement, Acquia a déployé une atténuation de niveau de plate-forme pour tous les clients d'Acquia Cloud une heure après que l'équipe de sécurité de Drupal a rendu la version sa-Core-2018-002 disponible le 28 mars. Au cours de la dernière semaine, Acquia a observé plus de 500 000 attaques de plus de 3 000 adresses IP différentes à travers notre flotte de serveurs et de base de clients. Au meilleur de notre connaissance, toute tentative d'exploitation d'un client d'Acquia a échoué.

SA-Core Timeline

 

Rester informé

Recevez le meilleur contenu sur l'avenir du marketing numérique, les changements de l'industrie, et d'autres leaders de la pensée.

L'échelle et la gravité de cette attaque suggère que si vous n'avez pas mis à niveau vos sites Drupal, ou votre site n'est pas pris en charge par Acquia Cloud ou un autre fournisseur de confiance qui fournit des correctifs de niveau de plate-forme, les chances de votre site piraté sont très élevés. Si vous n'avez pas encore mis à niveau votre site, je vous recommande de restaurer à partir d'une sauvegarde prise avant que la vulnérabilité a été annoncée et mise à niveau avant de remettre votre site en ligne. (mise à jour: la restauration d'un site Drupal à partir de sauvegarde peut ne pas être suffisant que certains des exploits se réinstaller à partir de crontab. Vous devez supposer que tout l'hôte est compromis.)

La politique de divulgation responsable de Drupal

Il est important de garder à l'esprit que tous les logiciels a des bogues de sécurité, et heureusement pour Drupal, les bogues de sécurité critique sont rares. Il a été près de quatre ans depuis l'équipe de sécurité Drupal a publié un communiqué de sécurité pour Drupal Core qui est ce critique.

Ce qui importe, c'est comment les projets logiciels ou les éditeurs de logiciels traitent des bogues de sécurité. L'équipe de sécurité Drupal suit une «politique de divulgation coordonnée»: les questions restent confidentielles jusqu'à ce qu'il y ait un correctif publié. Une annonce publique est faite lorsque la menace a été adressée et une version sécurisée de Drupal Core est également disponible. Même lorsqu'un bug fix est mis à disposition, l'équipe de sécurité Drupal est très attentionnée avec sa communication. L'équipe est attentive à retenir autant de détails sur la vulnérabilité que possible pour rendre difficile pour les pirates de créer un exploit, et d'acheter des propriétaires de sites Drupal autant de temps que possible pour mettre à niveau. Dans ce cas, les propriétaires de sites Drupal avaient deux semaines avant l'apparition des premiers exploits publics.

Historiquement, beaucoup de fournisseurs de CMS propriétaires ont exécuté une approche différente, et ne divulguent pas toujours des bogues de sécurité. Au lieu de cela, ils corrigent souvent les bugs silencieusement. Dans ce scénario, le secret peut sembler être une bonne idée; il empêche les sites d'être piratés et il évite les mauvaises relations publiques. Cependant, masquer les vulnérabilités fournit un faux sentiment de sécurité, ce qui peut rendre les choses bien pires. Cette approche fonctionne également sous l'hypothèse que les pirates ne peuvent pas trouver des problèmes de sécurité sur leurs propres. Ils peuvent, et quand ils le font, encore plus de sites sont à risque d'être compromis.

L'approche de Drupal en matière de sécurité est la meilleure en classe — de la fixation du bogue, de la mise à l'essai de la solution, du préavis, de la coordination de la publication, de la réflexion de ne pas trop communiquer trop de détails, étant disponible pour les demandes de renseignements de presse, et à plusieurs reprises Rappelant à tout le monde de mettre à niveau.

Le niveau de plate-forme d'Acquia

En plus de la politique de divulgation responsable de l'équipe de sécurité Drupal, l'équipe de sécurité d'Acquia a surveillé de près les tentatives d'attaques sur notre infrastructure. Après la publication de l'article de recherche sur Checkpoint, Acquia a suivi l'origine des 500 000 tentatives d'attentats:

This image captures the geographic distribution of SA-CORE-2018-002 attacks against Acquia's customers.

Cette image capte la répartition géographique des attaques de sa-Core-2018-002 contre les clients d'Acquia. Le nombre noté dans chaque bulle est le nombre total d'attaques qui provenaient de cet emplacement.

À ce jour, plus de 50 pour cent des tentatives d'attaques Acquia a été témoin originaire de l'Ukraine:

SA-Core Top IP origins of attacks

Chez Acquia, nous fournissons aux clients un correctif de sécurité automatique de l'infrastructure et du code Drupal, en plus des correctifs de niveau de plate-forme pour les bogues de sécurité. Notre engagement à maintenir nos clients en sécurité se reflète dans notre Push pour libérer une plate-forme de niveau Fix une heure après l'équipe de sécurité Drupal fait sa-Core-2018-002 disponible. Cette atténuation couvrait tous les clients avec les applications d'Acquia Cloud Free, d'Acquia Cloud Professional, d'Acquia Cloud Enterprise et d'Acquia Cloud site Factory; donner à nos clients la tranquillité d'esprit pendant qu'ils modernisaient leurs sites Drupal, avec ou sans notre aide. Cela signifie que lorsque les tentatives d'exploitation et les attaques sont apparues dans la nature, les clients d'Acquia étaient en sécurité. En tant que meilleure pratique, Acquia recommande toujours que les clients de mettre à niveau vers la dernière version sécurisée de Drupal Core, en plus des atténuations de la plate-forme.

Ce billet de blog a été co-écrit par Dries Buytaert et Cash Williams.

Dries Buytaert, chairman and chief technology officer, Acquia

Dries Buytaert

Président, CTO Acquia, Inc.

Dries Buytaert est développeur Open Source et cadre technologique. Il est le chef de projet et créateur initial de Drupal, plateforme Open Source pour la création de sites Web et d’expériences numériques. Buytaert est également co-fondateur et Directeur technique d’Acquia, société technologique à fonds privés. Acquia fournit une plateforme Cloud ouverte à de nombreuses grandes organisations. Acquia aide ces organisations à développer, délivrer et optimiser leurs expériences numériques. Jeune leader mondial au Forum économique mondial, il est titulaire d’un doctorat en informatique et ingénierie de l’Université de Ghent et d’une maîtrise en informatique de l’Université d’Anvers. Il a été désigné Directeur technique de l’année par le Massachusetts Technology Leadership Council, Entrepreneur de l’année de Nouvelle-Angleterre par Ernst & Young et Jeune innovateur par la MIT Technology Review. Il écrit régulièrement des articles de blogs sur Drupal, l’Open Source, les start-ups, l’entreprise et l’avenir sous le nom dri.es.