В марте 2018 года разработчики CMS Drupal пошли на не совсем обычный шаг и анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости. Разработчики CMS попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны.

Вскоре стало известно, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal.

Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Однако разработчики Drupal предпочли разгласить как можно меньше подробностей о проблеме.

Однако скрывать подробности вечно было невозможно. Недавно исследователи Check Point и Dofinity, наконец, обнародовали детальный анализ проблемы, после чего российский ИБ-специалист Виталий Рудных опубликовал на GitHub PoC-эксплоит для уязвимости («в ознакомительных и образовательных целях»). Это вызвало еще одну волну предостережений со стороны ИБ-специалистов, которые прогнозировали скорый и бурный рост атак с применением данного эксплоита.

Теперь аналитики SANS Internet Storm Center сообщают, что им удалось зафиксировать попытки эксплуатация уязвимости CVE-2018-7600 с целью доставки на уязвимые серверы криптовалютного майнера XMRig, простого PHP-бэкдора и даже написанных на Perl IRC-ботов. Также попытки распространения майнеров заметили специалисты Volexity, а PHP-бэкдор наблюдали и эксперты GreyNoise.

По данным компании Imperva, 90% вредоносной активности пока относится к сканированиям и поискам уязвимых версий CMS (причем безуспешным), 3% связано с бэкдорами и еще 2% с майнерами. Основная масса атак пришлась на компании из США (53%) и Китая (45%).

Аналитики Volexity и GreyNoise сообщают, что за атаками и попытками распространения майнера стоит так же самая группировка, которая ранее эксплуатировала баг в Oracle WebLogic Server (CVE-2017-10271). Исследователи считают, что таким образом преступники уже заработали порядка 100 000 долларов в криптовалюте Monero.

Специалисты Qihoo 360 Netlab, в свою очередь, сообщают, что с начала текущей недели в сканированиях принимают участие сразу три ботнета на базе Tsunami.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии