Регистрираха ограничен брой сложни атаки към Drupal сървъри
Макар и лимитирани като брой, тези офанзиви търсят стабилно наличие.
Компанията за осведомителна сигурност Imperva сигнализира за регистрирани комплицирани офанзиви към сървъри, обслужващи Drupal съоръжения. Това, което е отличителното за тях, за разлика от други сходни произшествия е, че в този случай атакуващата страна търси стабилно наличие.
Както показват от Imperva, в множеството случаи, офанзивите към сървъри могат елементарно да се осуетят – посредством спиране на зловредния развой или рестартиране на машините. Днес обаче обстановката е друга и засечените в края на предишния месец офанзиви го потвърждават. Всичко стартира с търсенето от страна на атакуващите на зле конфигурирани и едва предпазени сървъри. При разкриване на такива, атакуващата страна доставя не един, а няколко вероятни експлойта за известни и към този момент запушени дупки. В случая става дума за CVE-2018-7600 или по-известна като Drupalgeddon2, сериозна накърнимост в Drupal, която беше открита и запушена тази година, както и уязвимостта по-популярна като DirtyCOW, накърнимост, обвързвана с ядрото на Линукс, чието сполучливо експлоатиране разрешава покачване на привилегиите. DirtyCOW беше запушена още през 2016, само че се употребява към момента в инструментариума на хакерите. Цел на атакуващата страна в тази ситуация е опцията за осъществяване на далечен код, завладяването на инсталациите и възпаление на системите на потребителите. ю
Като част от офанзивата, хакерите изготвят лист със характерни думи посредством локализирането на всички файлове, свързани с настройката на Drupal инстанциите, като извличат всички редове, съдържащи фразата pass. Imperva изясняват, че доста админи оставят root като консуматор по дифолт за връзка сред уеб приложението и базата данни. Това може да разреши на атакуващата страна да смени потребителя към root, след което да изпълнят злотворен код. Ако обаче кодът се извършва от подтекста на елементарен консуматор и съответните права на приложението, той нормално няма достъп до опцията да основава нови услуги. Тук идва ред на експлойтите, с които хакерите се пробват да покачат правата му към root. Imperva записват три разнообразни разновидността на DirtyCOW, с които се нападат сървърите, като една от тях не е разпознаваема за никой от антивирусните енджини във VirusTotal.
След като получи root достъп и разрешението за инсталиране на нови услуги, хакерите конфигурират SSH, конфигурират го и прибавят своите ключове към листата с позволените от услугата ключове. „И по този начин, в този момент, до момента в който машината работи, атакуващата страна може по отдалечен път да издава каква да е команда като консуматор root – завършек на играта“, означават Imperva.
Компанията за осведомителна сигурност Imperva сигнализира за регистрирани комплицирани офанзиви към сървъри, обслужващи Drupal съоръжения. Това, което е отличителното за тях, за разлика от други сходни произшествия е, че в този случай атакуващата страна търси стабилно наличие.
Както показват от Imperva, в множеството случаи, офанзивите към сървъри могат елементарно да се осуетят – посредством спиране на зловредния развой или рестартиране на машините. Днес обаче обстановката е друга и засечените в края на предишния месец офанзиви го потвърждават. Всичко стартира с търсенето от страна на атакуващите на зле конфигурирани и едва предпазени сървъри. При разкриване на такива, атакуващата страна доставя не един, а няколко вероятни експлойта за известни и към този момент запушени дупки. В случая става дума за CVE-2018-7600 или по-известна като Drupalgeddon2, сериозна накърнимост в Drupal, която беше открита и запушена тази година, както и уязвимостта по-популярна като DirtyCOW, накърнимост, обвързвана с ядрото на Линукс, чието сполучливо експлоатиране разрешава покачване на привилегиите. DirtyCOW беше запушена още през 2016, само че се употребява към момента в инструментариума на хакерите. Цел на атакуващата страна в тази ситуация е опцията за осъществяване на далечен код, завладяването на инсталациите и възпаление на системите на потребителите. ю
Като част от офанзивата, хакерите изготвят лист със характерни думи посредством локализирането на всички файлове, свързани с настройката на Drupal инстанциите, като извличат всички редове, съдържащи фразата pass. Imperva изясняват, че доста админи оставят root като консуматор по дифолт за връзка сред уеб приложението и базата данни. Това може да разреши на атакуващата страна да смени потребителя към root, след което да изпълнят злотворен код. Ако обаче кодът се извършва от подтекста на елементарен консуматор и съответните права на приложението, той нормално няма достъп до опцията да основава нови услуги. Тук идва ред на експлойтите, с които хакерите се пробват да покачат правата му към root. Imperva записват три разнообразни разновидността на DirtyCOW, с които се нападат сървърите, като една от тях не е разпознаваема за никой от антивирусните енджини във VirusTotal.
След като получи root достъп и разрешението за инсталиране на нови услуги, хакерите конфигурират SSH, конфигурират го и прибавят своите ключове към листата с позволените от услугата ключове. „И по този начин, в този момент, до момента в който машината работи, атакуващата страна може по отдалечен път да издава каква да е команда като консуматор root – завършек на играта“, означават Imperva.
Източник: kaldata.com
КОМЕНТАРИ