Макар и ограничени като брой, тези атаки търсят устойчиво присъствие.

Компанията за информационна сигурност Imperva алармира за регистрирани сложни атаки към сървъри, обслужващи Drupal инсталации. Това, което е отличителното за тях, за разлика от други сходни инциденти е, че в този случай атакуващата страна търси устойчиво присъствие.

Както посочват от Imperva, в повечето случаи, атаките към сървъри могат лесно да се осуетят – чрез прекъсване на зловредния процес или рестартиране на машините. Днес обаче ситуацията е различна и засечените в края на миналия месец атаки го доказват. Всичко започва с търсенето от страна на атакуващите на зле конфигурирани и слабо защитени сървъри. При откриване на такива, атакуващата страна доставя не един, а няколко възможни експлойта за популярни и вече запушени дупки. В случая става дума за CVE-2018-7600 или по-известна като Drupalgeddon2, критична уязвимост в Drupal, която беше открита и запушена тази година, както и уязвимостта по-популярна като DirtyCOW, уязвимост, свързана с ядрото на Линукс, чието успешно експлоатиране позволява повишение на привилегиите. DirtyCOW беше запушена още през 2016, но се използва все още в инструментариума на хакерите. Цел на атакуващата страна в случая е възможността за изпълнение на отдалечен код, превземането на инсталациите и инфектиране на системите на потребителите. ю

Като част от атаката, хакерите изготвят списък със специфични думи чрез локализирането на всички файлове, свързани с настройката на Drupal инстанциите, като извличат всички редове, съдържащи фразата pass. Imperva обясняват, че много администратори оставят root като потребител по подразбиране за връзка между уеб приложението и базата данни. Това може да позволи на атакуващата страна да смени потребителя към root, след което да изпълнят зловреден код. Ако обаче кодът се изпълнява от контекста на обикновен потребител и съответните права на приложението, той обикновено няма достъп до възможността да създава нови услуги. Тук идва ред на експлойтите, с които хакерите се опитват да повишат правата му към root. Imperva регистрират три различни варианта на DirtyCOW, с които се атакуват сървърите, като една от тях не е разпознаваема за никой от антивирусните енджини във VirusTotal.

След като получи root достъп и разрешението за инсталиране на нови услуги, хакерите инсталират SSH, конфигурират го и добавят своите ключове към списъка с разрешените от услугата ключове. „И така, сега, докато машината работи, атакуващата страна може по дистанционен път да издава каква да е команда като потребител root – край на играта“, отбелязват Imperva.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за