В марте 2018 года создатели CMS Drupal пошли на не совершенно обыденный шаг и анонсировали скорый выход патчей для некоторой «очень критичной» незащищенности. Создатели CMS попросили админов приготовиться к выходу патчей заблаговременно и установить обновления сразу, как те станут доступны.
Скоро стало понятно, что опаски у создателей Drupal вызвал баг CVE-2018-7600, которому в сети здесь же дали имя Drupalgeddon2 – в честь старенькой незащищенности Drupalgeddon (CVE-2014-3704, SQL-инъекция), которая была обнаружена в 2014 году тогда и ставшей предпосылкой взлома огромного количества веб-сайтов под управлением Drupal.
Незащищенность дозволяет атакующему выполнить случайный код в самом «сердце» CMS, всецело дискредитировав уязвимый веб-сайт. Для этого злодею не будет нужно регистрация, аутентификация и какие-или трудные манипуляции. Практически, довольно легко обратиться к определенному УРЛ-адресу. Но создатели Drupal пожелали предать гласности как можно меньше деталей о дилемме.
Но скрывать детали вечно было нереально. Не так давно исследователи Check Point и Dofinity, в конце концов, разгласили детальный изучение проблемы, после этого российский ИБ-спец Виталий Рудных опубликовал на GitHub PoC-эксплоит для незащищенности («в ознакомительных и образовательных целях»). Это вызвало еще одну волну предупреждений со стороны ИБ-профессионалов, прогнозировавш?? скорый и бурный рост атак с применением этого эксплоита.
Сейчас специалисты SANS Internet Storm Center докладывают, что им удалось зафиксировать попытки эксплуатация незащищенности CVE-2018-7600 в целях доставки на уязвимые серверы криптовалютного майнера XMRig, обычного PHP-бэкдора и даже написанных на Perl IRC-ботов. Кроме того, попытки распространения майнеров заметили специалисты Volexity, а PHP-бэкдор следили и специалисты GreyNoise.
По данным компании Imperva, пока девяносто процентов вредной активности пока относится к сканированиям и поискам уязвимых версий CMS (при этом безуспешным), три процента соединено с бэкдорами и еще два процента с майнерами. Главная масса атак пришлась на компании из Соединенных Штатов Америки (пятьдесят три процента) и КНР (сорок пять процентов).
Аналитики Volexity и GreyNoise сообщают, что за атаками и попытками распространения майнера стоит так же самая группировка, которая ранее эксплуатировала баг в Oracle WebLogic Server (CVE-2017-10271). Исследователи считают, что таким образом преступники уже заработали порядка 100 000 долларов в криптовалюте Monero.
Специалисты Qihoo 360 Netlab, в свою очередь, сообщают, что с начала текущей недели в сканированиях принимают участие сразу три ботнета на базе Tsunami.