Computer-Hacker missbrauchen den CVE-2018-7600 Drupal Verwundbarkeit mit einem neuen Drupalgeddon2 genannt Exploit-Sites, take down. Die Angriffe zielen Website-Instanzen Versionen 6,7 und 8 von Drupal und die gleiche Sicherheitslücke verwendet werden, die bereits im März dieses Jahres angesprochen wurde.
Der CVE-2018-7600 Drupal Bug Abused in New Drupalgeddon2 Angriff
Ein unbekannter Verbrecher Kollektiv nimmt in der CVE-2018-7600 Beratungs verfolgt Vorteil einer alten Sicherheitslücke, die früher in diesem Jahr ausgebessert wurde. Der neue Einbruchsversuch wird der Drupalgeddon2 Angriff und entsprechend der verfügbaren Forschung genannt ermöglicht Hacker die Websites mit einer neuen Strategie zu nutzen. Die Folgen sind die totale Kontrolle über die Zielstellen einschließlich des Zugangs zu privaten Daten. Die offizielle Beschreibung der CVE-2018-7600 Fehler ist die folgende:
Drupal vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6, und 8.5.x vor 8.5.1 ermöglicht es einen Angreifer aufgrund eines Problems beeinflusst mehrere Subsysteme mit Standard- oder gemeinsamen Modulkonfigurationen, beliebigen Code auszuführen.
Einige Wochen nach wurde das Thema öffentlich mehr Hacking Gruppen angekündigt versucht, das Problem zu nutzen. Der Hacker konnte verwundbar Websites finden, die alle mit Backdoor-Viren infiziert waren, Bergleute und anderer Malware-Code. Das Follow-up Eindringen führen zur Entdeckung eines alternativen Intrusion Ansatz, der als Drupalgeddon2 Angriff gegen Drupal-Seiten bekannt wurde.
Die Analysten aufgedeckt, dass die gleiche HTTP POT Anfrage als die ersten Angriffe wurden verwendet, um, die Traffic-Analyse zeigt, dass ähnliche Inhalte verwendet wurde. Das Endziel war ein Skript in der Sprache Perl geschrieben herunterladen, die den Download und die Ausführung eines Backdoor-Trigger. Diese Malware Skript wird die infizierte Website zu einem IRC-basierten Kanal verbinden, die als Hacker-kontrollierten Server, von wo aus den verschiedenen bösartigen Aktionen werden orchestriert dienen. Eine unvollständige Liste enthält die folgenden Funktionen:
- DDoS-Attacken - Infizierten Drupal-Instanzen können von Kriminellen verwendet werden, um zu starten Denial-of-Service-Attacken gegen bestimmte Ziele.
- Vulnerability Testing - Der bösartige Code, der die Drupal-Seiten infiltriert kann in der Analyse andere Drupal für Schwächen programmiert werden. Der häufigste Mechanismus ist durch eine SQL-Injection-Schwäche, die für Fehler in der Art und Weise sieht die Seiten mit ihren Datenbanken interagieren. Es handelt sich um ein sehr verbreiteter Mechanismus für die Gewinnung administrativen Zugriff.
- Miner-Infektion - Die infizierten Websites können modifiziert werden, um eine Kryptowährung miner Instanz enthalten, die jeden Besucher in den Web-Browser ausgeführt wird,. Die Maschinen durch sie werden in laufenden komplexe mathematische Operationen angewiesen werden, die die Vorteile der verfügbaren Systemressourcen nehmen. Jedes Mal, wenn erfolgreiche Aufgaben berichten die Betreiber eine Auszeichnung in Form von digitaler Kryptowährung erhalten.
- Server Intrusion - Der gefährliche Code infizieren können die Server die Drupal-Instanz mit verschiedenen Malware-Hosting. Dies ist besonders gefährlich, da sie zu Daten Ernte sensibler Benutzerinformationen führen kann.
Die Sicherheitsexperten zeigen, dass die eine der Hackerkollektiv, die hinter dem Drupalgeddon2 Angriff sind, sind die gleichen, die hinter einer Apache Struts Lücke entdeckten im letzten Jahr. Ein Follow-up zu Intrusion-Kampagne wurde im August über das getan CVE-2018-11776 bug.
Alle Drupal-Sites sollten auf die neueste Version aktualisiert werden, um sie zu schützen vor Hackerangriffen.