A vulnerabilidade do Drupal (CVE-2018-7600), apelidada de Drupalgeddon2, que poderia permitir que invasores invadissem completamente sites vulneráveis, agora foi explorada na natureza para entregar backdoors de malware e mineradores de criptomoedas.
O Drupalgeddon2, uma vulnerabilidade de execução remota de código altamente crítica descoberta há duas semanas no software do sistema de gerenciamento de conteúdo Drupal, foi recentemente corrigido pela empresa sem liberar seus detalhes técnicos.
No entanto, apenas um dia depois que pesquisadores de segurança da Check Point e Dofinity publicaram detalhes completos, um código de exploração de teste de conceito Drupalgeddon2 (PoC) foi disponibilizado amplamente, e tentativas de varredura e exploração da Internet em grande escala se seguiram.
Na época, nenhum incidente de alvos sendo hackeados foi relatado, mas no fim de semana, várias empresas de segurança perceberam que os invasores começaram a explorar a vulnerabilidade para instalar minas de criptomoedas e outros malwares em sites vulneráveis.
O SANS Internet Storm Center detectou alguns ataques para entregar um minerador de criptomoeda, um backdoor de PHP e um bot de IRC escrito em Perl.
O backdoor PHP simples permite que atacantes carreguem arquivos adicionais (backdoors) para o servidor de destino.
Um tópico nos fóruns do SANS ISC Infosec também sugere que o Drupalgeddon2 está sendo usado para instalar o minerador XMRig Monero em sites vulneráveis. Além do XMRig miner real, o script malicioso também faz o download de arquivos adicionais, incluindo um script para matar mineiros concorrentes no sistema alvo.
Pesquisadores da firma de segurança Volexity também observaram uma grande variedade de ações e cargas úteis tentadas por meio do exploit público do Drupalgeddon2 para entregar scripts maliciosos que instalam backdoors e cryptocurrency miners nos sites vulneráveis.
Os pesquisadores acreditavam que uma das campanhas da mineradora Monero, entregando XMRig, está associada a um grupo criminoso que explorou a vulnerabilidade (CVE-2017-10271) em servidores Oracle WebLogic para entregar malware de mineradora cryptocurrency logo após seu código de exploração PoC ter se tornado público final de 2017.
Volexity identificou algumas das carteiras do grupo que armazenaram um total de 544,74 XMR (moeda Monero), o que equivale a quase US $ 105.567.
Como informamos em nosso artigo anterior, as estatísticas da Imperva mostraram que 90% dos ataques do Drupalgeddon2 são simplesmente varredura de IP na tentativa de encontrar sistemas vulneráveis, 3% são tentativas de infecção de backdoor e 2% tentam executar minas de criptografia nos alvos.
Para quem não sabe, o Drupalgeddon2 permite que um invasor remoto não autenticado execute códigos maliciosos em instalações padrão ou Drupal comuns sob os privilégios do usuário, afetando todas as versões do Drupal de 6 a 8.
Portanto, os administradores do site foram altamente recomendados para corrigir o problema, atualizando seu CMS para o Drupal 7.58 ou Drupal 8.5.1 o mais rápido possível.
Em seu comunicado, Drupal alertou que “sites não corrigidos até quarta-feira, 2018-04-11 podem ser comprometidos” e “simplesmente atualizar o Drupal não removerá backdoors nem consertará sites comprometidos”.
Além disso,
“Se você achar que seu site já foi corrigido, mas não o fez, isso pode ser um sintoma de que o site foi comprometido. Alguns ataques no passado aplicaram o patch como uma forma de garantir que apenas o invasor esteja em controle do site. ”
Aqui está um guia que a equipe do Drupal sugere seguir se o seu site tiver sido invadido.
A vulnerabilidade do Drupal (CVE-2018-7600), apelidada de Drupalgeddon2, que poderia permitir que invasores invadissem completamente sites vulneráveis, agora foi explorada na natureza para entregar backdoors de malware e mineradores de criptomoedas.
O Drupalgeddon2, uma vulnerabilidade de execução remota de código altamente crítica descoberta há duas semanas no software do sistema de gerenciamento de conteúdo Drupal, foi recentemente corrigido pela empresa sem liberar seus detalhes técnicos.
No entanto, apenas um dia depois que pesquisadores de segurança da Check Point e Dofinity publicaram detalhes completos, um código de exploração de teste de conceito Drupalgeddon2 (PoC) foi disponibilizado amplamente, e tentativas de varredura e exploração da Internet em grande escala se seguiram.
Na época, nenhum incidente de alvos sendo hackeados foi relatado, mas no fim de semana, várias empresas de segurança perceberam que os invasores começaram a explorar a vulnerabilidade para instalar minas de criptomoedas e outros malwares em sites vulneráveis.
O SANS Internet Storm Center detectou alguns ataques para entregar um minerador de criptomoeda, um backdoor de PHP e um bot de IRC escrito em Perl.
O backdoor PHP simples permite que atacantes carreguem arquivos adicionais (backdoors) para o servidor de destino.
Um tópico nos fóruns do SANS ISC Infosec também sugere que o Drupalgeddon2 está sendo usado para instalar o minerador XMRig Monero em sites vulneráveis.Além do XMRig miner real, o script malicioso também faz o download de arquivos adicionais, incluindo um script para matar mineiros concorrentes no sistema alvo.
Pesquisadores da firma de segurança Volexity também observaram uma grande variedade de ações e cargas úteis tentadas por meio do exploit público do Drupalgeddon2 para entregar scripts maliciosos que instalam backdoors e cryptocurrency miners nos sites vulneráveis.
Os pesquisadores acreditavam que uma das campanhas da mineradora Monero, entregando XMRig, está associada a um grupo criminoso que explorou a vulnerabilidade (CVE-2017-10271) em servidores Oracle WebLogic para entregar malware de mineradora cryptocurrency logo após seu código de exploração PoC ter se tornado público final de 2017.
Volexity identificou algumas das carteiras do grupo que armazenaram um total de 544,74 XMR (moeda Monero), o que equivale a quase US $ 105.567.
Como informamos em nosso artigo anterior, as estatísticas da Imperva mostraram que 90% dos ataques do Drupalgeddon2 são simplesmente varredura de IP na tentativa de encontrar sistemas vulneráveis, 3% são tentativas de infecção de backdoor e 2% tentam executar minas de criptografia nos alvos.
Para quem não sabe, o Drupalgeddon2 permite que um invasor remoto não autenticado execute códigos maliciosos em instalações padrão ou Drupal comuns sob os privilégios do usuário, afetando todas as versões do Drupal de 6 a 8.
Portanto, os administradores do site foram altamente recomendados para corrigir o problema, atualizando seu CMS para o Drupal 7.58 ou Drupal 8.5.1 o mais rápido possível.
Em seu comunicado, Drupal alertou que “sites não corrigidos até quarta-feira, 2018-04-11 podem ser comprometidos” e “simplesmente atualizar o Drupal não removerá backdoors nem consertará sites comprometidos”.
Além disso,
“Se você achar que seu site já foi corrigido, mas não o fez, isso pode ser um sintoma de que o site foi comprometido. Alguns ataques no passado aplicaram o patch como uma forma de garantir que apenas o invasor esteja em controle do site. ”
Aqui está um guia que a equipe do Drupal sugere seguir se o seu site tiver sido invadido.