Trusted Design

CVE-2018-7600 の詳細

CVEの情報

説明:
Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to execute arbitrary code because of an issue affecting multiple subsystems with default or common module configurations.

CVE更新日: 2018-03-29 07:29:00.260000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.999930000

EPSS更新日: 2026-07-18 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2018-7600は、Drupalコンテンツ管理システム(CMS)における、認証なしでリモートから任意のコードを実行される可能性のある深刻な脆弱性です。この脆弱性は「Drupalgeddon2」とも呼ばれています。

1. 脆弱性の概要

Drupal CoreのフォームAPIにおけるAJAXリクエストの処理機構において、入力値の検証が不適切であることに起因します。これにより、認証されていないユーザーが細工されたリクエストを送信することで、任意のコードを実行できてしまう可能性があります。

1.1 影響

本脆弱性が悪用された場合、遠隔の第三者によって、Webサーバーの動作権限で任意のコードが実行される可能性があります。これにより、非公開データの窃取、システムデータの改ざん、またはサービス運用妨害(DoS)といった深刻な影響が発生する可能性があります。最悪の場合、Drupalのインストール全体、さらにはホストマシンが完全に侵害される可能性もあります。 攻撃者が悪用するマルウェアには、execsystempassthruevalといった関数が含まれることが確認されています。

1.2 深刻度

コミュニティでは「Highly critical(極めて重大)」と評価されています。 CVSS v3.1スコアは 9.8 (緊急) です。 * 攻撃元区分: ネットワーク * 攻撃条件の複雑さ: 低 * 必要な特権レベル: 不要 * ユーザー関与レベル: 不要 * スコープ: 変更なし * 機密性への影響: 高 * 完全性への影響: 高 * 可用性への影響: 高

2. 対象となる環境

2.1 影響を受けるOSバージョン

本脆弱性はDrupal CMS自体の問題であり、特定のOSバージョンに直接紐づくものではありません。ただし、Drupalが動作する環境に依存して影響を受ける可能性があります。例えば、Debian Linux上で稼働するDrupalの特定のバージョンが影響を受けると記載されています。 また、特定のPoC(概念実証コード)の動作にはPHPのバージョンが影響する場合があることが報告されています(例: PHP 7.1以降で動作するPoCと、PHP 7.0を含むすべてのPHPバージョンで動作するPoCが存在)。

影響を受けるDrupalのバージョンは以下の通りです。 * Drupal 7.x系: 7.58より前のバージョン * Drupal 8.x系: * 8.5.1より前のバージョン * 8.3.9より前の8.3.x系バージョン (サポート終了済み) * 8.4.6より前の8.4.x系バージョン (サポート終了済み) * サポートが終了しているDrupal 6系も影響を受けます。

2.2 影響を受ける設定

デフォルトまたは一般的なモジュール設定で本脆弱性の影響を受けます。

3. 影響を受けた時の兆候

  • 不審なHTTP POSTリクエストの観測。特に、公開されているPoCに酷似したリクエスト。
  • 外部サーバーからの不正プログラムのダウンロードおよび実行を試みる通信の観測。
  • 脆弱性の有無を調査する探索行為や攻撃活動の観測。
  • 通常の運用時と比較してCPU使用率やディスクI/Oの増加が見られる場合。
  • フォームAPIを利用している関係上、PoCの実行によってフォーム情報のキャッシュに影響が出る可能性があります。

4. 推奨対策

4.1 本対策

開発元から本脆弱性を修正したバージョンが公開されているため、対象となるDrupalを運用している場合は、速やかに以下のバージョンへアップデートすることが強く推奨されます。

  • Drupal 7.x系をご利用の場合: Drupal 7.58 にアップデート
  • Drupal 8.5.x系をご利用の場合: Drupal 8.5.1 にアップデート

なお、サポートが終了している8.3.x系、8.4.x系に対しても、異例の措置として修正バージョンが提供されています。 * Drupal 8.3.x系をご利用の場合: Drupal 8.3.9 にアップデート * Drupal 8.4.x系をご利用の場合: Drupal 8.4.6 にアップデート

サポート対象外のバージョンを使用している場合は、可能な限り早期にサポート対象の最新バージョンへのアップデートを検討してください。

4.2 暫定回避策(緩和策)

  • 修正パッチの適用: 直ちに完全なバージョンアップが困難な場合は、開発元から提供されている修正パッチを適用することを検討してください。
  • WAFの導入: Web Application Firewall (WAF) を導入し、本脆弱性を悪用した攻撃トラフィックを検知・遮断することも有効な緩和策となり得ます。
  • IDS/IPSによる監視: 不正アクセス監視機器(IDS/IPS)によって、既知の攻撃パターンを検知するシグネチャ(例: Palo Alto Networks Threat Prevention Signature 40627)を適用することで、攻撃を検出できる可能性があります。

他に解説すべき観点

  • 名称: 本脆弱性は、2014年に発見された危険度の高い脆弱性(CVE-2014-3704)に続くものであることから、「Drupalgeddon2」と呼称されています。
  • PoCの公開と悪用: 脆弱性公開後、速やかに概念実証(PoC)コードが公開され、実際に悪用を試みる攻撃活動が国内外で観測されています。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る