В марте 2018 года разработчики CMS Drupal пошли на не совсем обычный шаг и анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости. Разработчики CMS попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны.

Вскоре стало известно, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal.

Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Однако разработчики Drupal предпочли разгласить как можно меньше подробностей о проблеме.

Однако скрывать подробности вечно было невозможно. Недавно исследователи Check Point и Dofinity, наконец, обнародовали детальный анализ проблемы, после чего российский ИБ-специалист Виталий Рудных опубликовал на GitHub PoC-эксплоит для уязвимости («в ознакомительных и образовательных целях»). Это вызвало еще одну волну предостережений со стороны ИБ-специалистов, которые прогнозировали скорый и бурный рост атак с применением данного эксплоита.

Теперь аналитики SANS Internet Storm Center сообщают, что им удалось зафиксировать попытки эксплуатация уязвимости CVE-2018-7600 с целью доставки на уязвимые серверы криптовалютного майнера XMRig, простого PHP-бэкдора и даже написанных на Perl IRC-ботов. Также попытки распространения майнеров заметили специалисты Volexity, а PHP-бэкдор наблюдали и эксперты GreyNoise.

По данным компании Imperva, 90% вредоносной активности пока относится к сканированиям и поискам уязвимых версий CMS (причем безуспешным), 3% связано с бэкдорами и еще 2% с майнерами. Основная масса атак пришлась на компании из США (53%) и Китая (45%).

Аналитики Volexity и GreyNoise сообщают, что за атаками и попытками распространения майнера стоит так же самая группировка, которая ранее эксплуатировала баг в Oracle WebLogic Server (CVE-2017-10271). Исследователи считают, что таким образом преступники уже заработали порядка 100 000 долларов в криптовалюте Monero.

Специалисты Qihoo 360 Netlab, в свою очередь, сообщают, что с начала текущей недели в сканированиях принимают участие сразу три ботнета на базе Tsunami.

1 комментарий

  1. https://t.me/vulns

    18.04.2018 at 22:57

    Я вот нашёл эту уязвимость на сайте Sony https://t.me/vulns/182 😀 Уязвимость исправили, но, похоже, загруженный web shell остался. Отписал им в bug bounty, должны удалить.

Оставить мнение