Спомняте ли си за Drupalgeddon2? Изглежда хакерите не са я забравяли, докато администриращите уеб ресурси не са я запомнили. Това става ясно от разкритието за нова вълна от успешни атаки към нея.

Критичната уязвимост в кода на популярната CMS платформа Drupal беше толкова сериозна, че си получи свое собствено име и логотип. CVE-2018-7600 беше адресирана в нови версии на системата още през март миналата година и както от Drupal, така и вълна от специалисти по информационна сигурност предупредиха, че налагането на тези нови версии не търпи отлагане. А самите атаки не закъсняха. Броени дни след запушването и разкритието на уязвимостта започнаха масирани атаки към незащитени страници, към техните посетители и сървъри, които падаха жертва на зловредна реклама, спам, рансъмуер, криптоминьори и друг тип зловреден код. Кодът на експлойта беше включен в експлойт комплекти и ботнети, а успешните атаки не са спирали.

Akamai алармират за появата на нова кампания, насочена към експлоатиране на уязвимостта, при която престъпници се опитват да изпълнят зловреден код, вграден в .gif изображения. Макар и не глобални, атаките засягат широк профил от компании и уебсайтове.

В една от регистрираните атаки, подобен .gif файл е бил разположен на сайт за сърфисти в Бразилия. Той е съдържал прикрит PHP код, който е проектиран да декодира кодирана чрез base64 зловредна програма, запазен в променлива. Самата програма има способността да сканира съдържанието на локалните файлове за съхранени в тях записи за достъп, изпраща имейл с откритите записи, заменя локалния .htaccess файл, показва MySQL my.cnf конфигурационните файлове, изпълнява файл, съхранен на външна локация, преименува и качва файлове и да стартира уеб-шел. Зловредната програма използва IRC за връзка с контролния сървър, като освен, че може да бъде използвана за DDoS атаки, може да бъде използвана и като напълно функционален метод за осъществяване на отдалечен достъп и контрол.

„Този код бива споделян от множество страни и модифициран според нуждите от криминалния престъпен свят в Интернет“, пишат Akamai. „Тази нова кампания още веднъж подчертава важността от спазването на добра защитна хигиена, което включва налагането на обновленията навреме. Уязвимостта Drupalgeddon2, която е цел на хакерите тук е на година и половина и експлоатирането ѝ е лесно, което създава огромни рискове за бизнес средите с остарели системи, тъй като процедурите по разпознаване и инфектиране на уязвимите системи би могло да бъде автоматизирано“, продължават авторите на доклада. Съветът на специалистите тук е че най-добрите предпазни практики са навременното налагане на кръпките по сигурността и „пенсионирането“ на сървъри, които вече не се използват.

ДОБАВИ КОМЕНТАР

avatar
  Абонирай се  
Извести ме за