Эксперты компании Akamai предупредили, что даже полтора года спустя уязвимость Drupalgeddon2 активно применяется для атак на крупные сайты.
Напомню, что о проблеме Drupalgeddon2 (CVE-2018-7600) стало известно в марте 2018 года. Уязвимость позволяет атакующему удаленно, без аутентификации выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу.
Под угрозой оказались все наиболее актуальные версии CMS веток 7.х и 8.х, вплоть до 8.5.0. И злоумышленники быстро взяли проблему на вооружение, распространяя таким образом майнеры и бэкдоры.
К сожалению, многие владельцы сайтов до сих пор не озаботились установкой обновлений, о чем и предупреждают специалисты Akamai. Так, недавно эксперт компании Ларри Кэшдоллар (Larry W. Cashdollar) выявил вредоносную кампанию, в ходе которой злоумышленники пытаются запустить код, встроенный в файл .gif, опираясь на эксплуатацию Drupalgeddon2. Данная кампания не имеет широкого распространения, но нацелена на крупные сайты в самых разных областях.
Так, один из изученных исследователем файлов .gif был размещен на скомпрометированном сайте по бодисерфингу, расположенном в Бразилии. Файл содержал обфусцированный код PHP, предназначенный для декодирования base64-малвари, хранящейся в переменной.
Кэшдоллар пишет, что малварь может сканировать учетные данные, хранящиеся в локальных файлах, отправлять письма с обнаруженными учетными данными своим операторам, заменять локальный файл .htaccess, отображать файлы конфигурации MySQL my.cnf, выполнять удаленные файлы, показывать системную информацию, переименовывать файлы, загружать файлы, а также запускать веб-шеллы.
Вредонос может использоваться для организации DDoS-атак, но также может функционировать как троян удаленного доступа. Он способен подключаться к теперь уже неработающему IRC-серверу и присоединяться к определенному каналу для получения команд. Фактически малварь позволяет злоумышленникам собирать информацию о локальной системе и перехватывать контроль над ней.