Drupal ถือเป็น CMS (Content Management System) ที่ถูกพัฒนามาอย่างต่อเนื่อง และถือว่าเป็นที่นิยมสำหรับใช้สร้างเว็บไซด์มากที่สุดตัวหนึ่ง แต่ล่าสุดกลับเจอช่องโหว่สุดรุนแรงทำให้เมื่อได้รับ request การโจมตีเข้าไป จะทำให้เว็บถูกยึดได้เลยทีเดียว

Ambionics team คือทีมที่พบช่องโหว่ร้ายแรงใน​ Services ซึ่งเป็น third party module ของ Drupal สำหรับการสร้าง API ในการติดต่อ Drupal จากภายนอก โดยช่องโหว่ดังกล่าวมีการทำ unserialize() ในส่วนที่เป็น API สำหรับการ login /user/login ซึ่งเกิดจากการที่ตรวจสอบ input ที่เป็น serialized data ได้ดีพอ ทำให้เกิดช่องโหว่รุนแรง SQL Injection ได้ ซึ่ง Hacker สามารถทำให้กลายเป็น Remote Code Execution ได้จากการเข้าไปแก้ไข cache table แล้วเรียกใช้งานผ่าน DrupalCacheArray class ได้

ตอนนี้ทาง Drupal ได้ออก patch update แล้ว หลังจากได้รับแจ้งเพียง 40 นาทีเท่านั้น หากใครใช้อยู่รีบ update ด่วนครับ หากไม่สามารถ update ได้ในทันทีแนะนำให้ทำการ disable การ input application/vnd.php.serialized ผ่าน API ก่อนครับ

ระบบที่ได้รับผลกระทบ: Drupal Services Module 7.x
ผลกระทบ: SQL Injection -> Remote Code Execution
วิธีการแก้ไข: Update เป็น Drupal Services Module 7.x-3.19

Source:: Ambionics Security