• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Киберпреступники вновь атакуют сайты на Drupal

Уязвимость Drupalgeddon2, закрытая разработчиками в марте прошлого года, все еще актуальна.

Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на одном из скомпрометированных сайтов.

По мнению экспертов, текущая кампания относительно скромная: она нацелена на отдельные сайты с большим трафиком и не имеет отраслевой направленности.

В руки ИБ-специалистов попали два объекта, найденных на бразильском веб-ресурсе. Обфусцированный вредоносный код размещен в GIF-файле, а незашифрованный Perl-сценарий для коммуникаций с C&C-сервером — в текстовом документе.

Сценарий новых атак через Drupalgeddon2

Перед запуском скриптов злоумышленники ищут и удаляют предыдущие варианты полезной нагрузки, а также изменяют ключевые настройки сайта. Файл index.inc.gif содержит PHP-код, зашифрованный при помощи алгоритмов base64, rot13 и архиватора gzip. Вредоносный сценарий пытается выполнить следующие команды:

• запуск собственной веб-оболочки;
• распаковка и удаленный запуск скриптов;
• поиск учетных данных на диске и отправка их злоумышленникам;
• замена файла конфигурации .htaccess;
• вывод системной информации и конфигурации SQL-базы;
• переименование файлов на целевой машине.

Вторая часть полезной нагрузки находится в текстовом файле — это набор команд для подключения к IRC-чату, через который идет связь скомпрометированного ресурса с центром управления. Скрипт позволяет собирать информацию об уязвимой системе, использовать ее для DDoS-атак и перехватывать управление сайтом. По мнению специалистов, злоумышленники использовали готовый код, доступный в даркнете, изменив часть сценария для своих целей.

Разработчики Drupal исправили уязвимость Drupalgeddon2 в марте 2018 года. Баг позволяет неавторизованному злоумышленнику удаленно выполнить код на сайте, работающем под управлением CMS версий с 3.3 по 8.5. Проблема зарегистрирована как CVE-2018-7600 и получила критический уровень угрозы по шкале CVSS.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля