Chyba zabezpečení Drupalgeddon 2 slouží k napadení serverů pomocí zadních panelů a koinminerů

Drupalgeddon 2

Hackeři neztráceli čas při rozhodování o tom, co dělat s kódem důkazu o konceptu (PoC), který byl minulý týden zveřejněn online za závažnou bezpečnostní chybu aplikace Drupal.

Podle mnoha zdrojů útočníci neustále infikují servery s backdoor skripty a kryptocurrency-dolování malware (coinminers), protože minulý čtvrtek, duben 12.

Tehdy ruský bezpečnostní výzkumník zveřejnil kód důkazu o konceptu Drupalgeddon 2 (CVE-2018-7600), která se dotkla všech verzí systému Drupal CMS, které byly vydány v uplynulém desetiletí.

Prohledá zranitelná místa začal do několika hodin po publikaci PoC. V té době mluvili s Bleeping Computer, CTO a zakladatel společnosti Sucuri Daniel Cid říkali, že většina útoků, které detekovali, zjistila, kde testy zjistili, zda PoC pracuje.

Útoky se vyvíjejí z testování PoC k upuštění od aktuálního malwaru

Ale věci se přes víkend změnily. Nyní několik zdrojů v oblasti informační bezpečnosti informuje o tom, že útočníci upouštějí škodlivé užitečné zatížení na zranitelné weby.

Například Volexita hlášeny v pondělí vidí hackeři, kteří používají veřejný PoC kód, aby spustili coinminery, GreyNoise hlášeny vidět PHP backdoor, zatímco dnes, SANS ISC hlášeny vidí útočníky klesající mince, PHP backdoors a dokonce i perlové boty.

Obecná představa je, že útočníci testovali poC během několika prvních dnů a nyní vylepšují užitečné zatížení před tím, než začnou kopat do větších operací. Celkově je počet pokusů o zneužití stále malý ve srovnání s ostatními probíhajícími malwarovými kampaněmi, ale čísla rostou.

Podle statistik shromážděných společností Imperva, 90 procent z pokusů o zneužití chyby Drupalgeddon 2 jsou neúspěšné skenování, zatímco pouze tři procenta se pokoušejí opustit zadní stěnu a pouze dvě procenta se pokoušejí spustit koinminer.

Drupalgeddon skenuje - přes Impervu

Zahrnují se odborné zločinecké skupiny

Věci se rozhodně zhoršují, protože experti Qihoo 360 Netlab dnes zaznamenali tři botnety tsunami, které začaly aktivně využívat i chybu Drupalgeddon 2.

Podobně tým GreyNoise také zaznamenal botnet dříve zapojené do využívání nedostatku Oracle WebLogic, nyní posunuje rychlost na chybu zabezpečení Drupalgeddon 2.

Větší botnety, které se zapojují do skenování Drupalgeddon 2, znamenají, že vážné hrozbové skupiny se nyní obrátily na tuto zranitelnost a tyto útočníci pravděpodobně ví, co dělají, místo toho, aby testovali PoC.

Využití se také po publikaci dostalo mnohem jednodušší druhý PoC v pondělí, zatímco některé databáze využívají přidané varianty prvních PoC - variancí, které jsou již zbraňovány a připraveny k nasazení bez další práce z útočníka.

Prozatím, i když mají autory Drupal CMS řekl že "weby, které nebyly zpoplatněny ve středu, 2018-04-11 mohou být ohroženy," uživatelům je stále doporučeno aktualizovat stránky Drupal na verze 7.58 abd 8.5.1, ty, které obsahují opravy pro Drupalgeddon 2.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.