Os hackers de computador estão abusando da vulnerabilidade CVE-2018-7600 Drupal usando um novo exploit chamado Drupalgeddon2 para derrubar sites. Os ataques visam instâncias de sites que executam versões 6,7 e 8 do Drupal e usar a mesma vulnerabilidade de segurança que foi corrigida em março deste ano.
O bug CVE-2018-7600 Drupal abusado no novo ataque Drupalgeddon2
Um grupo criminoso desconhecido está se aproveitando de um bug de segurança antigo rastreado no comunicado CVE-2018-7600 que foi corrigido no início deste ano. A nova tentativa de intrusão é chamada de ataque Drupalgeddon2 e de acordo com as pesquisas disponíveis permite que hackers explorem os sites usando uma nova estratégia. As consequências são o controle total dos sites de destino, incluindo o acesso a dados privados. A descrição oficial do bug CVE-2018-7600 é a seguinte:
Drupal antes 7.58, 8.x antes 8.3.9, 8.4.x antes 8.4.6, e 8.5.x antes 8.5.1 permite que atacantes remotos executem código arbitrário devido a um problema que afeta vários subsistemas com configurações de módulo padrão ou comuns.
Várias semanas depois que o problema foi anunciado publicamente, vários grupos de hackers tentaram explorar o problema. Os hackers conseguiram encontrar sites vulneráveis, todos infectados com vírus de backdoor, mineiros e outro código de malware. Essa intrusão subsequente levou à descoberta de uma abordagem alternativa de intrusão que ficou conhecida como ataque Drupalgeddon2 contra sites Drupal.
Os analistas descobriram que a mesma solicitação HTTP POT dos primeiros ataques foi usada, a análise de tráfego mostra que conteúdos semelhantes foram usados. O objetivo final era baixar um script escrito na linguagem Perl que aciona o download e a execução de um backdoor. Este script de malware conectará o site infectado a um canal baseado em IRC que servirá como o servidor controlado por hacker de onde as várias ações maliciosas serão orquestradas. Uma lista parcial inclui os seguintes recursos:
- Ataques DDoS - As instâncias infectadas do Drupal podem ser usadas por criminosos para lançar ataques de negação de serviço contra certos alvos.
- vulnerabilidade Testing - O código malicioso que se infiltra nos sites Drupal pode ser programado para analisar outras fraquezas do Drupal. O mecanismo mais comum é através de uma falha de injeção de SQL que procura por bugs na forma como os sites interagem com seus bancos de dados. Este é um mecanismo muito comum para obter acesso administrativo.
- Infecção de mineiro - Os sites infectados podem ser modificados para incluir uma instância de criptomoeda que será executada nos navegadores de cada visitante. Por meio dele, suas máquinas serão instruídas a executar operações matemáticas complexas que aproveitarão os recursos do sistema disponíveis. Sempre que tarefas bem-sucedidas são relatadas, os operadores receberão um prêmio na forma de criptomoeda digital.
- Intrusão de servidor - O código perigoso pode infectar os servidores que hospedam a instância do Drupal com vários malwares. Isso é especialmente perigoso, pois pode levar à coleta de dados de informações confidenciais do usuário.
Os analistas de segurança mostram que aquele dos coletivos de hackers que estão por trás do ataque Drupalgeddon2 são os mesmos que estão por trás de uma vulnerabilidade do Apache Struts descoberta no ano passado. Um acompanhamento da campanha de intrusão foi feito em agosto por meio do Bug CVE-2018-11776.
Todos os sites Drupal devem ser atualizados para a versão mais recente disponível, a fim de se protegerem contra ataques de hackers.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: