Огромен ботнет от сървъри и смарт устройства е започнал да експлоатира последната критична уязвимост в Drupal, алармира Qihoo360.
В края на миналия месец ви разказахме за открита и навременно запушена от екипа на CMS платформата Drupal уязвимост. Тя даже получи свое собствено лого и стряскащо име – Drupalgeddon2. CVE-2018-7600 позволява превземането на ресурса и сървъра зад него. Споменатият ботнет се възползва от експлойт, който репликира заплахата на основата на уязвимостта, правейки от настоящата атака наистина сериозна заплаха.
Мрежата от инфектирани смарт устройства и сървъри е кръстена Muhstik, заради многократното споменаване на думата в основата на заплахата, а самата тя се основава на Tsunami, доста стара зловредна програма, на чиято основа престъпници създават ботнет мрежа от компрометирани Линукс сървъри. Tsunami се използва дълго време за организирането на DDoS атаки, но откакто изходния му код изтича онлайн, неговите възможности биват обогатявани постоянно. Според специалистите, Mushtik може освен да организира DDoS атаки, може да инсталира XMRig – за добив на Monero или CGMiner за копаене на Dash.
Заплахата използва три основни модула, но по думите на Qihoo360, веднага, след като успее да компрометира Drupal ресурс, бива свалян и страничен модул, чиято цел е да осъществи допълнително сканиране. Той се опитва да открие други устройства в близкия спектър, които са уязвими и могат да бъдат присъединени към ботнета.
Макар и подобна процедура да е присъща за IoT ботнет, то специалистите акцентират именно на включването на експлойт за Drupalgeddon2 в арсенала му. От друга компания – GreyNoise – отбелязват и друга негова отличителна черта – опитите за атака, които прави към Oracle WebLogic сървърни системи.
Ако поддържате Drupal ресурс и все още не сте наложили обновлението за Drupalgeddon2 (идва с версии Drupal 7.58 и Drupal 8.5.1), издадено в края на март, побързайте.
