Над 80% от наскоро компрометираните Drupal ресурси доставят миньори на криптомонети
Макар и запушена през март, сериозна накърнимост в Drupal продължава да се експлоатира интензивно от киберпрестъпници в Мрежата.
В края на март хората от Drupal разкриха и запушиха сериозна дупка в известната CMS система Drupal. Ставаше дума за сериозна накърнимост, която разрешава цялостното завладяване на интернет ресурса и заради сериозността на казуса беше наречена Drupalgeddon2 (първият Drupalgeddon се появи преди няколко години и стотици запаси станаха обект на масирани атаки). Скоро след появяването на по-подробна информация за казуса (вклюително и оповестен експлойт код) стартираха и опитите за офанзиви, а в това време беше разпознат още един проблем – накърнимост, обвързвана с Drupalgeddon2 (наречена Drupalgeddon3).
Експлойт код за уязвимостта беше включен в ботнет, офанзивите автоматизирани и за жалост, доста от тях – сполучливи. Тези дни в Интернет се появи отчет на чешката компания за антивирусна отбрана Malwarebytes, който обръща внимание на тези офанзиви, като акцент в него са заканите, които ресурсът почва да доставя след неговото компрометиране. Съвсем предстоящо, най-често става дума за криптоминьор, нормално включващ код на Coinhive и копаещ Monero – последния шлагер в киберпрестъпния свят.
Специалистите от компанията употребяват Shodan да сканират интернет спектъра, като от 80 000 ресурса на основата на Drupal, откриват над 900 компрометирани страници. Много от тези запаси представлявали тестови планове, които не събирали трафик, само че тези, които били действителни уеб сайтове били обединени от предстояща обща характерност – всички те били на основата на остарели и към този момент неподдържани Drupal съоръжения. Почти половината от компрометираните запаси били на основата на Drupal 7.5, а към 30% – на 7.3 – версия, която получава последното си обновяване през 2015.
По-голямата част (над 80%) от тези запаси доставяли криптокопач чрез drive-by download офанзиви – т.е. от потребителя не се изисква някакво деяние, с цел да падне браузъра или системата му жертва на тях. Не по този начин стоят нещата с доставяните измами, имитиращи техническа поддръжка – снабдяване на подправени обновления и сходни опити за машинация, при които се прави опит за заблуждаване на потребителя да смъкна и извърши злотворен код на системата си.
„Компрометираните уеб сайтове, без значение огромни или дребни си остават привлекателна цел, която нарушителите се пробват да нападат всеобщо с времето. И защото поддръжката и обновяването си остава проблем, броят на евентуалните нови жертви в никакъв случай не понижава. В светлината на написаното би трябвало да се каже, че хората, които се грижат за уеб ресурсите е нужно да потърсят други пътища за минимизиране на рисковете, когато налагането на нова версия не може да бъде направено сега и да ревизират това, което други назовават „виртуално пачване“. По-конкретно, уеб апликационните защитни стени са помогнали на мнозина да бъдат предпазени от този нов вид офанзиви и даже в случаите, в които техният CMS е уязвим“, поучава Джером Сегура.
В края на март хората от Drupal разкриха и запушиха сериозна дупка в известната CMS система Drupal. Ставаше дума за сериозна накърнимост, която разрешава цялостното завладяване на интернет ресурса и заради сериозността на казуса беше наречена Drupalgeddon2 (първият Drupalgeddon се появи преди няколко години и стотици запаси станаха обект на масирани атаки). Скоро след появяването на по-подробна информация за казуса (вклюително и оповестен експлойт код) стартираха и опитите за офанзиви, а в това време беше разпознат още един проблем – накърнимост, обвързвана с Drupalgeddon2 (наречена Drupalgeddon3).
Експлойт код за уязвимостта беше включен в ботнет, офанзивите автоматизирани и за жалост, доста от тях – сполучливи. Тези дни в Интернет се появи отчет на чешката компания за антивирусна отбрана Malwarebytes, който обръща внимание на тези офанзиви, като акцент в него са заканите, които ресурсът почва да доставя след неговото компрометиране. Съвсем предстоящо, най-често става дума за криптоминьор, нормално включващ код на Coinhive и копаещ Monero – последния шлагер в киберпрестъпния свят.
Специалистите от компанията употребяват Shodan да сканират интернет спектъра, като от 80 000 ресурса на основата на Drupal, откриват над 900 компрометирани страници. Много от тези запаси представлявали тестови планове, които не събирали трафик, само че тези, които били действителни уеб сайтове били обединени от предстояща обща характерност – всички те били на основата на остарели и към този момент неподдържани Drupal съоръжения. Почти половината от компрометираните запаси били на основата на Drupal 7.5, а към 30% – на 7.3 – версия, която получава последното си обновяване през 2015.
По-голямата част (над 80%) от тези запаси доставяли криптокопач чрез drive-by download офанзиви – т.е. от потребителя не се изисква някакво деяние, с цел да падне браузъра или системата му жертва на тях. Не по този начин стоят нещата с доставяните измами, имитиращи техническа поддръжка – снабдяване на подправени обновления и сходни опити за машинация, при които се прави опит за заблуждаване на потребителя да смъкна и извърши злотворен код на системата си.
„Компрометираните уеб сайтове, без значение огромни или дребни си остават привлекателна цел, която нарушителите се пробват да нападат всеобщо с времето. И защото поддръжката и обновяването си остава проблем, броят на евентуалните нови жертви в никакъв случай не понижава. В светлината на написаното би трябвало да се каже, че хората, които се грижат за уеб ресурсите е нужно да потърсят други пътища за минимизиране на рисковете, когато налагането на нова версия не може да бъде направено сега и да ревизират това, което други назовават „виртуално пачване“. По-конкретно, уеб апликационните защитни стени са помогнали на мнозина да бъдат предпазени от този нов вид офанзиви и даже в случаите, в които техният CMS е уязвим“, поучава Джером Сегура.
Източник: kaldata.com
КОМЕНТАРИ