Gli hacker stanno abusando del CVE-2018-7600 Drupal vulnerabilità usando un nuovo exploit chiamato Drupalgeddon2 per abbattere siti. Gli attacchi di mira le istanze del sito che eseguono versioni 6,7 e 8 di Drupal e utilizzare la stessa vulnerabilità di sicurezza che è stato affrontato nel marzo di quest'anno.
Il CVE-2018-7600 Drupal Bug Abusato a New Attacco Drupalgeddon2
Un collettivo criminale sconosciuta sta approfittando di un vecchio bug di sicurezza rintracciato nella consulenza CVE-2018-7600 che è stato patchato all'inizio di quest'anno. Il nuovo tentativo di intrusione viene chiamato l'attacco Drupalgeddon2 e secondo la ricerca a disposizione consente agli hacker di sfruttare i siti utilizzando una nuova strategia. Le conseguenze sono il controllo totale dei siti di destinazione compreso l'accesso ai dati privati. La descrizione ufficiale del bug CVE-2018-7600 è il seguente:
Drupal prima 7.58, 8.x prima 8.3.9, 8.4.x prima 8.4.6, e 8.5.x prima 8.5.1 consente agli aggressori remoti di eseguire codice arbitrario a causa di un problema riguardante diversi sottosistemi con predefinito o configurazioni comuni di moduli.
Diverse settimane dopo che la questione è stata pubblicamente annunciata diversi gruppi di hacker hanno tentato di sfruttare il problema. Gli hacker sono stati in grado di trovare siti vulnerabili che sono stati tutti infettati da virus backdoor, minatori e altri codici di malware. Questo follow-up intrusione ha portato alla scoperta di un metodo alternativo di intrusione che divenne noto come l'attacco contro i siti Drupal Drupalgeddon2.
Gli analisti hanno scoperto che la stessa richiesta POT HTTP come i primi attacchi sono stati utilizzati, l'analisi del traffico mostra che il contenuto simile è stato usato. L'obiettivo finale era quello di scaricare uno script scritto in linguaggio Perl che innesca il download e l'esecuzione di una backdoor. Questo script di malware collegherà il sito infetto ad un canale IRC-based che servirà come il server degli hacker controllata da dove saranno orchestrate le diverse azioni dannose. Un elenco parziale comprende le seguenti funzionalità:
- Gli attacchi DDoS - le istanze Drupal infetti possono essere usati dai criminali per lanciare attacchi denial-of-service attacchi nei confronti di determinati obiettivi.
- vulnerabilità Testing - Il codice maligno che si infiltra i siti Drupal può essere programmato in analisi altre Drupal per le debolezze. Il meccanismo più comune è attraverso una debolezza SQL injection che guarda per i bug nel modo in cui i siti di interagire con i loro database. Si tratta di un meccanismo molto comune per ottenere l'accesso amministrativo.
- Miner infezione - I siti infetti possono essere modificate per includere un'istanza criptovaluta minatore che sarà eseguito nei browser web di ogni visitatore. Le loro macchine attraverso di essa saranno istruiti ad attivare operazioni matematiche complesse che sfruttare le risorse di sistema disponibili. Ogni volta che vengono segnalati compiti di successo gli operatori riceveranno un premio in forma di criptovaluta digitale.
- Server Intrusion - Il codice pericoloso può infettare i server che ospitano l'istanza di Drupal con malware vari. Questo è particolarmente pericoloso in quanto può portare alla raccolta di dati di informazioni dell'utente sensibili.
Gli analisti della sicurezza dimostra che quello dei collettivi di hacker che sono dietro l'attacco Drupalgeddon2 sono gli stessi che stanno dietro una vulnerabilità Apache Struts scoperto l'anno scorso. Un follow-up per la campagna di intrusione è stato fatto nel mese di agosto attraverso il CVE-2.018-11.776 bug.
Tutti i siti Drupal devono essere aggiornati alla versione più recente disponibile al fine di proteggersi contro gli attacchi degli hacker.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: