Computer hackere misbruger den CVE-2018-7600 Drupal sårbarhed ved hjælp af en ny udnytte kaldet Drupalgeddon2 at tage ned sites. Angrebene målområdet forekomster kører versioner 6,7 og 8 af Drupal og bruger den samme sikkerhedsbrist som var rettet tilbage i marts i år.
Den CVE-2018-7600 Drupal Bug Misbrugt i New Drupalgeddon2 Attack
En ukendt kriminel kollektiv udnytter en gammel sikkerhed bug spores i CVE-2018-7600 rådgivende der blev lappet tidligere på året. Den nye indbrudsforsøg kaldes Drupalgeddon2 angreb og i henhold til den tilgængelige forskning giver hackere at udnytte de steder ved hjælp af en ny strategi. Konsekvenserne er total kontrol over de målstederne herunder adgang til privat data. Den officielle beskrivelse af CVE-2018-7600 bug er følgende:
Drupal før 7.58, 8.x før 8.3.9, 8.4.x før 8.4.6, og 8.5.x før 8.5.1 muligt for fjernangribere at udføre vilkårlig kode på grund af et problem, der påvirker flere delsystemer med standard eller fælles modul konfigurationer.
Flere uger efter spørgsmålet blev offentligt annonceret flere hacking grupper forsøgt at udnytte problemet. Hackerne var i stand til at finde sårbare steder, der alle blev inficeret med bagdør virus, minearbejdere og anden malware kode. Denne opfølgende indtrængen fører til opdagelsen af en alternativ indtrængen tilgang, der blev kendt som Drupalgeddon2 angreb mod Drupal sites.
Analytikerne afsløret, at den samme HTTP POT anmodning som de første angreb blev brugt, den trafik analyse viser, at lignende indhold blev brugt. Det endelige mål var at hente et script skrevet i Perl sprog, som udløser download og udførelse af en bagdør. Denne malware script vil forbinde inficeret sted til en IRC-baseret kanal, der vil tjene som hackeren-kontrollerede server, hvorfra de forskellige ondsindede handlinger vil blive orkestreret. En delvis liste indeholder følgende kapaciteter:
- DDoS angreb - Inficerede Drupal tilfælde kan bruges af forbrydere til at foretage denial-of-service-angreb mod bestemte mål.
- Sårbarhed Test - Den ondsindede kode, der infiltrerer de Drupal sites kan programmeres ind i at analysere andre Drupal for svagheder. Den mest almindelige mekanisme er gennem en SQL-injektion svaghed, som søger efter fejl i den måde, de steder interagere med deres databaser. Disse er en meget fælles mekanisme til at få administrativ adgang.
- Miner Infektion - De inficerede sites kan modificeres til at omfatte en cryptocurrency minearbejder instans som vil blive udført i webbrowsere for alle besøgende. Deres maskiner gennem det vil blive instrueret i at køre komplekse matematiske operationer, der vil drage fordel af de tilgængelige systemressourcer. Når vellykkede opgaver rapporteres operatørerne vil modtage en pris i form af digitale cryptocurrency.
- Server Intrusion - Den farlige kode kan inficere servere, der hoster Drupal instans med diverse malware. Dette er især farligt, da det kan føre til data høst af følsomme brugeroplysninger.
Den sikkerhed analytikere viser, at en af de hacker kollektiver, der står bag Drupalgeddon2 angreb er de samme, bag en Apache Struts sårbarhed opdagede sidste år. En opfølgning på indtrængen kampagne blev gjort i august via CVE-2018-11.776 bug.
Alle Drupal sites skal opdateres til den nyeste version for at beskytte sig mod hackerangreb.