В края на миналата седмица ви съобщихме това, че екипите по сигурността, поддържащи популярната CMS система Drupal са идентифицирали и покрили критична уязвимост в платформата. Специалистите препоръчаха новата версия на платформата да бъде наложена възможно по-бързо, тъй като атаките към уязвимостта няма да закъснеят. И точно така и се случи. Едва три дена след покриването на уязвимостта, хакери са започнали с опитите си да я експлоатират, за което алармират от компанията за информационна защита Imperva.
Самата уязвимост, идентифицирана като CVE-2019-6340, може да позволи изпълнението на случаен PHP код. Това може да бъде осъществено в случаите, в които е активиран модула RESTful Web Services и се позволява изпълнение на заявките PATCH или POST. Другият сценарий, при което това е възможно е и ако други услуги са включени, като JSON:API в Drupal 8 или RESTful Web Services или Services в Drupal 7. Само два дена след излизането на кръпката за проблема, уязвимостта беше анализирана и в Мрежата се появи и PoC (proof-of-concept) код, валидиращ наличието на проблема и спомагащ за експлоатирането му.
Imperva регистрират стотици опити за експлоатиране на уязвимостта, насочени към компрометиране на различен род клиенти – от малки и средни компании до финансови институции, организации от правителствения и частния сектор. Самите опити идват от няколко различни групировки в няколко различни страни.
Цел на тези атаки са доставянето на различен род заплахи, най-често криптоминьори. Такъв е и случая с CoinIMP. Програмата се инженктира в index.php файла и се опитва да компрометира защитата на системите на посетителите на сайта, за да копае от компютрите им Monero и друг тип криптовалути. От Imperva уведомяват, че атаки биват провеждани с успех и към машини, чиито администратори са изпълнили указанията на Drupal по избягване на рисковете, свързани с възможността за експлоатиране. „Експлойтът работи дори и след като са били спазени съветите на Drupal за деактивиране на всички уеб модули и забрана на заявките за PUT/PATCH/POST, отправяни към ресурсите, свързани с уеб услугите“, пише Еди Коган от Imperva.
Drupal също регистрират опитите за атака и внесоха повече яснота по случая и възможностите за избягване на риска.
Припомняме, че Drupal беше във фокуса на вниманието и през миналата година, когато две свързани помежду си уязвимости – Drupalgeddon2 и Drupalgeddon3 – доведоха до масирани атаки към системи на основата на Drupal. Отново най-популярните форми на заплаха, с които бяха атакувани тези ресурси бяха криптоминьори, но също така и друг тип зловредни програми, като троянски коне, фалшива реклама и лъжливи съобщения за ъпдейт и др.
