Wada Drupalgeddon 2 używana do infekowania serwerów za pomocą tylnych drzwi i monet

Drupalgeddon 2

Hakerzy nie tracą czasu na decydowanie, co zrobić z kodem weryfikacyjnym (PoC) opublikowanym w zeszłym tygodniu w Internecie na temat poważnej usterki bezpieczeństwa Drupala.

Według wielu źródeł napastnicy systematycznie infekują serwery ze skryptami backdoora i złośliwym oprogramowaniem do wyszukiwania kryptowalut (monety) od ostatniego czwartku kwietnia 12.

To wtedy rosyjski badacz bezpieczeństwa opublikował kod proof-of-concept dla Drupalgeddon 2 (CVE-2018-7600) Usterka wpływająca na wszystkie wersje Drupal CMS wydane w ostatnim dziesięcioleciu.

Skanuje w poszukiwaniu podatnych na atak witryn rozpoczęty w ciągu kilku godzin po publikacji PoC. W tym czasie, rozmawiając z Bleeping Computer, Sucurim CTO i założycielem Daniel Cid powiedział większość ataków, które wykrywali, gdzie testy sprawdziły, czy działa PoC.

Ataki ewoluują od testowania PoC do zrzucania szkodliwego oprogramowania

Ale w weekend sytuacja się zmieniła. Obecnie wiele źródeł w branży bezpieczeństwa informatycznego zgłasza, że ​​napastnicy upuszczają złośliwe ładunki na podatne strony.

Na przykład Volexity zgłaszane w poniedziałek widząc hakerów używających publicznego kodu PoC do zrzucania monet, GreyNoise zgłaszane widząc backdoora PHP, a dziś SANS ISC zgłaszane widząc, jak napastnicy upuszczają monety, backdoory PHP, a nawet boty Perla.

Ogólny pomysł polega na tym, że atakujący testowali WKP przez kilka pierwszych dni, a teraz dopracowują ładunek przed uruchomieniem większych operacji. Ogólnie rzecz biorąc, liczba prób wykorzystania jest wciąż niewielka w porównaniu z innymi trwającymi kampaniami złośliwego oprogramowania, ale liczba ta rośnie.

Według statystyk zebranych przez Imperva, 90 procent prób wykorzystania luki Drupalgeddon 2 to nieudane skany, a tylko trzy procent to próby zrzucenia tylnych drzwi, a tylko dwa procent to próby upuszczenia monety.

Skany Drupalgeddon - przez Imperva

Eksperymentalne grupy przestępcze angażują się

Sytuacja na pewno się pogorszy, ponieważ eksperci Qihoo 360 Netlab zauważyli dzisiaj trzy botnety Tsunami, które zaczęły aktywnie wykorzystywać lukę Drupalgeddon 2.

Podobnie, zespół GreyNoise zaobserwował również botnet wcześniej zaangażowany w wykorzystywanie luki Oracle WebLogic, teraz zmieniając bieg w kierunku luki Drupalgeddon 2.

Większe botnety angażujące się w skanowanie Drupalgeddon 2 oznaczają, że poważne grupy zagrożeń już teraz wykorzystały tę lukę, a atakujący będą raczej wiedzieć, co robią, zamiast testować PoC.

Eksploatacja stała się o wiele łatwiejsza po publikacji drugi PoC w poniedziałek, podczas gdy niektóre bazy danych wykorzystujące exploity dodały wariacje na temat pierwszych wersji PoC, które są już uzbrojone i gotowe do wdrożenia bez dodatkowej pracy ze strony atakującego.

Na razie, nawet jeśli mają to autorzy Drupal CMS powiedziany że "witryny nie załatane w środę, 2018-04-11 mogą zostać naruszone," użytkownicy nadal powinni aktualizować witryny Drupal do wersji 7.58 abd 8.5.1, zawierających poprawki dla Drupalgeddon 2.

Źródło

Podobne post

Dodaj komentarz

Ta strona używa Akismet do redukcji spamu. Dowiedz się, jak przetwarzane są dane komentarza.