Les pirates informatiques abusent de la vulnérabilité CVE-2018-7600 Drupal en utilisant un nouvel exploit appelé Drupalgeddon2 à abattre des sites. Les attaques ciblent les instances du site en cours d'exécution versions 6,7 et 8 de Drupal et utiliser la même vulnérabilité de sécurité qui a été adressée en Mars de cette année.
Le CVE-2018-7600 Drupal Bug Abused en Nouvelle Drupalgeddon2 Attaque
Un collectif criminel inconnu profite d'un vieux bug de sécurité suivi dans l'avis CVE-2018-7600 qui a été patché plus tôt cette année. La nouvelle tentative d'intrusion est appelée l'attaque Drupalgeddon2 et selon la recherche disponible permet aux pirates d'exploiter les sites utilisant une nouvelle stratégie. Les conséquences sont un contrôle total des sites cibles, y compris l'accès aux données privées. La description officielle du bug CVE-2018-7600 est le suivant:
Drupal avant 7.58, 8.x avant 8.3.9, 8.4.x avant 8.4.6, et 8.5.x avant 8.5.1 permet à des attaquants distants d'exécuter du code arbitraire en raison d'un problème affectant plusieurs sous-systèmes avec des configurations de modules par défaut ou communes.
Plusieurs semaines après l'émission a été annoncée publiquement plusieurs groupes ont tenté d'exploiter hacking la question. Les pirates ont pu trouver des sites vulnérables qui ont tous été infectés par le virus de porte dérobée, mineurs et autres code malveillant. Ce plomb d'intrusion de suivi à la découverte d'une approche d'intrusion alternative qui est devenu connu comme l'attaque contre les sites Drupal Drupalgeddon2.
Les analystes ont découvert que la même demande POT HTTP que les premières attaques ont été utilisés, l'analyse du trafic montre que le contenu similaire a été utilisée. L'objectif final est de télécharger un script écrit dans le langage Perl qui déclenche le téléchargement et l'exécution d'une porte dérobée. Ce script malware se connecte sur le site infecté à un canal IRC basé, qui servira de serveur contrôlé pirate informatique à partir duquel les diverses actions malveillantes seront orchestrées. Une liste partielle comprend les fonctionnalités suivantes:
- attaques DDoS - Infected cas Drupal peuvent être utilisés par les criminels pour lancer des attaques par déni de service contre certaines cibles.
- Test de vulnérabilité - Le code malveillant qui infiltre les sites Drupal peut être programmé dans l'analyse d'autres Drupal pour les faiblesses. Le mécanisme le plus commun est par une faiblesse d'injection SQL qui recherche des bogues dans la façon dont les sites qui interagissent avec leurs bases de données. Ce sont un mécanisme très commun pour l'accès administratif.
- Infection Miner - Les sites infectés peuvent être modifiés pour inclure une instance de mineur qui sera crypto-monnaie exécuté dans les navigateurs web de chaque visiteur. Leurs machines à travers elle seront chargés dans l'exécution des opérations mathématiques complexes qui tirer profit des ressources système disponibles. Chaque fois que les tâches réussies sont signalées les opérateurs recevront un prix sous la forme de numérique crypto-monnaie.
- serveur d'intrusion - Le code dangereux peut infecter les serveurs hébergeant l'instance Drupal avec divers logiciels malveillants. Cela est particulièrement dangereux car il peut conduire à la récolte de données des informations utilisateur sensibles.
Les analystes de sécurité montre que l'un des collectifs de pirates qui sont derrière l'attaque Drupalgeddon2 sont les mêmes que ceux derrière une vulnérabilité Apache Struts découvert l'année dernière. Un suivi à la campagne d'intrusion a été effectuée en Août par le CVE-2018-11776 bug.
Tous les sites Drupal doivent être mis à jour à la dernière version disponible afin de se protéger contre les attaques de pirates.