Computer hackers misbruik maken van de CVE-2018-7600 Drupal kwetsbaarheid met behulp van een nieuwe exploit genaamd Drupalgeddon2 te nemen van websites. De aanvallen richten website instances waarop versies 6,7 en 8 van Drupal en maken gebruik van dezelfde security kwetsbaarheid die in maart van dit jaar was gericht.
De CVE-2018-7600 Drupal Bug Misbruikt in New Drupalgeddon2 Attack
Een onbekende crimineel collectieve is gebruik te maken van een oude security bug bijgehouden in de CVE-2018-7600 adviesdiensten die eerder dit jaar werd gepatcht. De nieuwe inbraakpoging heet de Drupalgeddon2 aanval en op basis van het beschikbare onderzoek laat hackers om de sites te exploiteren met behulp van een nieuwe strategie. De gevolgen zijn totale controle van de doelgroep websites, waaronder toegang tot privégegevens. De officiële beschrijving van de CVE-2018-7600 bug is het volgende:
Drupal vóór 7.58, 8.x vóór 8.3.9, 8.4.x vóór 8.4.6, en 8.5.x voor 8.5.1 kunnen externe aanvallers willekeurige code kan uitvoeren vanwege een probleem waar meerdere subsystemen met standaard of gemeenschappelijke moduleconfiguraties.
Enkele weken na de uitgifte publiekelijk werd aangekondigd enkele hacking groepen geprobeerd om de kwestie te exploiteren. De hackers waren in staat om kwetsbare locaties die allemaal waren geïnfecteerd met backdoor virussen vinden, mijnwerkers en andere malwarecode. Deze follow-up inbraak leidde tot de ontdekking van een alternatieve inbraak benadering die bekend werd als de Drupalgeddon2 aanval tegen Drupal-sites.
De analisten ontdekt dat dezelfde HTTP POT verzoek als de eerste aanvallen werden gebruikt, de verkeersanalyse blijkt dat een soortgelijke inhoud werd toegepast. Het uiteindelijke doel was om een script geschreven in de Perl taal die het downloaden en uitvoeren van een backdoor triggers downloaden. Deze malware script zal de geïnfecteerde website verbinding te maken met een IRC-gebaseerde kanaal, die als de hacker gecontroleerde server van waaruit de verschillende kwaadaardige acties zullen worden georkestreerd zal dienen. Een gedeeltelijke lijst omvat de volgende mogelijkheden:
- DDoS-aanvallen - Geïnfecteerde Drupal gevallen kan worden gebruikt door criminelen om denial-of-service tegen bepaalde doelen lanceren.
- Kwetsbaarheid Testing - De kwaadaardige code die de Drupal-sites infiltreert kan worden geprogrammeerd in het analyseren van andere Drupal voor zwakheden. De meest voorkomende mechanisme is door middel van een SQL-injectie tekortkoming, die zoekt naar bugs in de manier waarop de sites omgaan met hun databases. Dit zijn een zeer gemeenschappelijk mechanisme voor het verkrijgen van administratieve toegang.
- Miner Infectie - De geïnfecteerde sites kunnen worden gewijzigd om een cryptogeld mijnwerker aanleg die in de webbrowsers van elke bezoeker zal worden uitgevoerd onder. Hun machines doorheen zal worden geïnstrueerd in het uitvoeren van complexe wiskundige bewerkingen die gebruik zal maken van de beschikbare systeembronnen. Wanneer succesvolle taken worden gerapporteerd de operatoren zal een award in de vorm van digitale cryptogeld.
- server Intrusion - De gevaarlijke code kunnen de servers die de Drupal bijvoorbeeld met verschillende malware te infecteren. Dit is vooral gevaarlijk omdat het kan leiden tot data verzamelen van gevoelige informatie voor de gebruiker.
De security analisten blijkt dat het een van de hacker collectieven die achter de Drupalgeddon2 aanval zijn dezelfde die achter een Apache Struts kwetsbaarheid vorig jaar ontdekt. Een follow-up tot inbraak campagne werd uitgevoerd in augustus via de CVE-2018-11.776 bug.
Alle Drupal sites moeten worden aangepast aan de meest recente versie om zich te beschermen tegen aanvallen van hackers.