It-säkerhet: när du Klickar på e-postlänkar som skulle kunna sätta dina uppgifter i riskzonen
Social ingenjörskonst är den överlägset största faktorn i skadlig dataintrång kampanjer, varnar forskare – hur kan den stoppas?
En fjärrkörning av kod (RCE) sårbarhet lappat över ett och ett halvt år sedan är fortfarande mycket aktivt sysselsatta i attacker mot hög profil webbplatser.
Enligt it-säkerhet forskare från Akamai, den bugg som påverkar open source Drupal content management system (CMS) som används för att hantera webbplatser, utnyttjas genom skadliga .GIF-filer.
Drupalgeddon2 spåras som CVE-2018-7600 och är en sårbarhet upptäcktes först i Mars 2018. Utfärdat en CVSS v3.0 poäng på 9,8 och CVSS v2.0 poäng: 7,5, säkerhetsbrist kan fjärrstartas på standard och gemensam Drupal-installationer, vilket kan leda till RCE, data stöld, och hemsida kapning.
Se även: WhiteShadow downloader använder Microsoft SQL-frågor för att leverera skadliga nyttolaster
Sårbarheten påverkar Drupal CMS versioner 7.58 och nedan, 8.x innan 8.3.9, 8.4.x innan 8.4.6, och 8.5.x innan 8.5.1. Vid tiden för upptäckt, Drupal räknar med att över en miljon webbplatser var sårbara. Utnyttjar för Drupalgeddon2 har utvecklats i några dagar.
En patch var utfärdad över ett och ett halvt år sedan och Drupal ägarna uppmanades att snabbt uppdatera till nya, opåverkade versioner. Det verkar dock som att inte alla webbansvariga har följt detta råd.
På måndag, Akamai sade sårbarheten är inte utnyttjas genom en .GIF-fil mot en “random sortiment av hög profil webbplatser.”
CNET: Iranska hackare riktat en amerikansk presidentvalskampanj, säger Microsoft
Drupalgeddon2 bildfil, index.inc.gif, är att ligga på en Brasiliansk bodysurfing hemsida som verkar ha kapats. Bilden filen innehåller döljs av PHP-kod och malware paket som är base64-kodad.
När det lanserades på utsatta områden, det är bugg används för att distribuera skadlig programvara som kan skanna lokala filer för inloggningsuppgifter, skicka e-post med stulna inloggningsuppgifter till angriparna, och byta ut .htaccess-filer. Dessutom skadlig kod kommer att försöka visa MySQL min.cnf konfigurationsfiler.
En andra del av skadlig kod finns i bilden filen är ett Perl-skript, allmänt delad i tunnelbanan, som innehåller denial-of-service (DoS) och fjärråtkomst Trojan (RÅTTA) funktionalitet.
TechRepublic: Black Hat 2019: nätverk för Övervakning av verksamheten och hantera digitala risker
Oavsett hur äldre en sårbarhet — speciellt med tanke på att vissa som används i aktiv attack kampanjer är över tio år gammal — om det är sannolikt unpatched system existerar, att de kommer att missbrukas.
I sådana fall som Drupalgeddon2, laget säger, det är enkelt och fjärråtkomst säkerställer att angripare kommer att automatisera skannar och attacker på “dåligt underhållna och glömt system.”
“Detta skapar problem för företag och webb-administratörer, som dessa gamla bortglömda installationer är ofta kopplade till andra kritiska system-skapa en pivottabell på nätet,” Akamai säger. “Att få fläckar i tid, samt ordentligt avveckling servrar om de inte längre används är den bästa förebyggande åtgärden.”
Tidigare och relaterade täckning
Vimeo indragen i biometriska ansikte karta ” process över användarnas integritet, samtycke
Facebook har sällsynta domstolen vinna över integritet brott, investor fordringar
Kameleont gambling apps torkas från App Store, Google Play
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter