Drie dagen –dat is de tijd die het nam hackers om te beginnen met het lanceren van aanvallen op Drupal sites met behulp van een exploit voor een lek in de CMS-project patch van vorige week.
De aanvallen, die zijn gedetecteerd door web firewall bedrijf Imperva, geprobeerd om te profiteren van nog-niet-gepatchte Drupal sites en plant een JavaScript cryptocurrency mijnwerker genaamd CoinIMP op kwetsbare locaties.
De munt-mijnbouw-script, dat werkt op dezelfde manier als de meer bekende Coinhive, zou gebruik hebben gemaakt van de browsers van alle bezoekers van de site naar de mijne de Monero cryptocurrency voor de hackers.
De aanvallen begonnen op zaterdag, februari 23, volgens Imperva, drie dagen na het Drupal-project patched een kwetsbaarheid bijgehouden als CVE-2019-6340, en twee dagen na de ‘ proof-of-concept (PoC) te exploiteren code werd op grote schaal beschikbaar online op verschillende sites [1, 2].
Imperva zegt de honderden aanslagen gedetecteerd gebruikt één van de PoCs als basis voor de exploitatie routine, bewijzen eens te meer dat het vrijgeven van een proof-of-concept code is meestal helpen aanvallers eerder dan de site-eigenaren.
Afbeelding: Imperva
De aanvallen proberen te benutten CVE-2019-6340 te planten cryptominers niet uniek. Het Drupal content management systeem (CMS) ontvangen twee grote patches vorig jaar voor twee beveiligingsproblemen genoemd Drupalgeddon 2 (CVE-2018-7600) en Drupalgeddon 3 (CVE-2018-7602).
Vergelijkbaar met de vorige week evenementen, veiligheid onderzoekers die geanalyseerd van de twee fouten van vorig jaar gepubliceerd PoC code die geholpen aanvallers aanvallen binnen enkele dagen. Net zoals vorige week, cryptominers waren hun go-to laadvermogen [1, 2].
Maar terwijl de Drupalgeddon 2 en Drupalgeddon 3 fouten van invloed op de overgrote meerderheid van Drupal sites, het goede nieuws is dat afgelopen week is de bug –CVE-2019-6340– alleen van invloed op Drupal 8 sites en niet op de meer populaire en wijdverspreide basis van Drupal 7-versie.
Grofweg zijn er meer dan 63.000 Drupal 8 sites Troy Mursch, mede-oprichter van Slechte Pakketten LLC, vertelde ZDNet. Bovendien, alleen Drupal 8 locaties waar een bepaalde combinatie van modules is ingeschakeld, zijn kwetsbaar, wat betekent dat er zeer weinig van deze zijn eigenlijk kwetsbaar, Mursch zei.
Al met al, terwijl de Drupalgeddon 2 kwetsbaarheid maanden duurde om de patch en werd geëxploiteerd zo laat als laatste vallen, met deze nieuwe bug ziet er niet zo zal worden geëxploiteerd meer dan een paar dagen totdat de hackers zich realiseren dat ze het verspillen van hun tijd.
Met een geschat aantal van kwetsbare sites zitten in de honderden of lage duizenden van 1.2 miljoen totaal aantal Drupal sites, dit is een minuscuul aanval oppervlak dat niet verleiden dat veel hacker groepen gaan vooruit.
Verwante cybersecurity nieuws:
Microsoft Rand laat Facebook Flash code achter de gebruikers backsA derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enig siteICANN: Er is een voortdurende en belangrijke risico voor de DNS-infrastructuur
Nieuwe browser-aanval laat hackers uitvoeren slechte code zelfs nadat de gebruiker laat een web pageResearchers breken digitale handtekeningen voor de meeste desktop PDF viewersMicrosoft publiceert security alert op IIS-bug die ervoor zorgt dat 100% CPU-gebruik spikes
Ernstige kwetsbaarheid gevonden in Android ES File Explorer app TechRepublicXiaomi elektrische scooter naar verluidt kwetsbaar voor het kapen van hack CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters