В марте 2018 года разработчики CMS Drupal пошли на не совсем обычный шаг и анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости. Разработчики CMS попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны.
Вскоре стало известно, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal.
Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Однако разработчики Drupal предпочли разгласить как можно меньше подробностей о проблеме.
Однако скрывать подробности вечно было невозможно. Недавно исследователи Check Point и Dofinity, наконец, обнародовали детальный анализ проблемы, после чего российский ИБ-специалист Виталий Рудных опубликовал на GitHub PoC-эксплоит для уязвимости («в ознакомительных и образовательных целях»). Это вызвало еще одну волну предостережений со стороны ИБ-специалистов, которые прогнозировали скорый и бурный рост атак с применением данного эксплоита.
Теперь аналитики SANS Internet Storm Center сообщают, что им удалось зафиксировать попытки эксплуатация уязвимости CVE-2018-7600 с целью доставки на уязвимые серверы криптовалютного майнера XMRig, простого PHP-бэкдора и даже написанных на Perl IRC-ботов. Также попытки распространения майнеров заметили специалисты Volexity, а PHP-бэкдор наблюдали и эксперты GreyNoise.
По данным компании Imperva, 90% вредоносной активности пока относится к сканированиям и поискам уязвимых версий CMS (причем безуспешным), 3% связано с бэкдорами и еще 2% с майнерами. Основная масса атак пришлась на компании из США (53%) и Китая (45%).
Аналитики Volexity и GreyNoise сообщают, что за атаками и попытками распространения майнера стоит так же самая группировка, которая ранее эксплуатировала баг в Oracle WebLogic Server (CVE-2017-10271). Исследователи считают, что таким образом преступники уже заработали порядка 100 000 долларов в криптовалюте Monero.
UPDATE: there is a 95% overlap between the IPs scanning for the previously reported #drupalgeddon vulnerability and the Oracle CVE-2017-10271 vulnerability.
— GreyNoise Intelligence (@GreyNoiseIO) April 18, 2018
Специалисты Qihoo 360 Netlab, в свою очередь, сообщают, что с начала текущей недели в сканированиях принимают участие сразу три ботнета на базе Tsunami.
Early warning, three tsunami botnet variants utilizing Drupal_RCE #CVE_2018_7600 is actively spreading since yesterday, we have logged 10+ C2s, will provide more update on our blog tomorrow.
— 360 Netlab (@360Netlab) April 17, 2018