【注意喚起】CMSのDrupal 、RCEで危険度の高い脆弱性(CVE-2019-6340)。至急、最新版への更新を

JSOCアナリストの山坂です。

オープンソースのCMS（コンテンツマネジメントシステム）として使われる Drupal に、危険度の高い脆弱性（SA-CORE-2019-003, CVE-2019-6340）が公開されました。この脆弱性について、JSOC^®での検証の結果、リモートからのOSコマンド実行が可能であることを確認しました。この脆弱性を悪用することにより、Drupal が動作するサーバにおいて、任意のコードが実行（RCE）され、データの改ざんや流出などの被害が発生する恐れがあります。

既に攻撃コードが公開されており、今後この脆弱性を悪用した攻撃の増加が懸念されますので、Drupal をご利用の場合は、脆弱なバージョンのものでないか、至急ご確認ください。

実際に、JSOC が設置しているスレットインテリジェンス基盤において、脆弱性情報の公開直後に Drupal のバージョンを調査する試みを多数観測しました。攻撃者が脆弱なホストを探索している可能性があります。お使いの環境が今回の脆弱性の対象外であった場合でも、Drupal に存在する過去の脆弱性が狙われる可能性が考えられますので、改めて現在お使いのバージョンをご確認いただき、最新バージョンへのアップデートをご検討ください。

調査行為自体は、脆弱性が公開された日の翌日（2月21日）に一時的に急増した後、いったん収束しているように見受けられますが、引き続き注意が必要です。JSOCでは今後も継続して状況の変化を調査します。

影響を受ける可能性があるソフトウェアバージョン

Drupal 8.6.10 未満の Drupal 8.6.x
Drupal 8.5.11 未満の Drupal 8.5.x

再現確認をした環境

Drupal 8.5.0 において、RESTful Web サービス（rest）モジュールが有効な場合に、任意のコードが実行できることを確認しています。

対策方法

Drupal 8.6.10および Drupal 8.5.11 にバージョンアップしてください。

参考情報

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2019-003