Престъпници започнаха да експлоатират уязвимостта в Drupal
В края на предходната седмица ви съобщихме това, че екипите по сигурността, поддържащи известната CMS система Drupal са разпознали и покрили сериозна накърнимост в платформата. Специалистите предложиха новата версия на платформата да бъде наложена допустимо по-бързо, защото офанзивите към уязвимостта няма да закъснеят. И тъкмо по този начин и се случи. Едва три дни след покриването на уязвимостта, хакери са почнали с опитите си да я експлоатират, за което сигнализират от компанията за осведомителна отбрана Imperva.
Самата накърнимост, разпозната като CVE-2019-6340, може да разреши осъществяването на инцидентен PHP код. Това може да бъде осъществено в случаите, в които е задействан модула RESTful Web Services и се разрешава осъществяване на поръчките PATCH или POST. Другият сюжет, при което това е допустимо е и в случай че други услуги са включени, като JSON:API в Drupal 8 или RESTful Web Services или Services в Drupal 7. Само два дни след излизането на кръпката за казуса, уязвимостта беше оценена и в Мрежата се появи и PoC (proof-of-concept) код, валидиращ съществуването на казуса и съдействуващ за експлоатирането му.
Imperva записват стотици опити за експлоатиране на уязвимостта, ориентирани към компрометиране на друг жанр клиенти – от дребни и междинни компании до финансови институции, организации от държавния и частния бранш. Самите опити идват от няколко разнообразни групировки в няколко разнообразни страни.
Цел на тези офанзиви са доставянето на друг жанр закани, най-често криптоминьори. Такъв е и случая с CoinIMP. Програмата се инженктира в index.php файла и се пробва да компрометира отбраната на системите на посетителите на уеб страницата, с цел да копае от компютрите им Monero и различен вид криптовалути. От Imperva уведомяват, че офанзиви биват провеждани с триумф и към машини, чиито админи са изпълнили напътствията на Drupal по отбягване на рисковете, свързани с опцията за експлоатиране. „ Експлойтът работи даже и откакто са били спазени препоръките на Drupal за деактивиране на всички уеб модули и възбрана на поръчките за PUT/PATCH/POST, отправяни към ресурсите, свързани с уеб услугите “, написа Еди Коган от Imperva.
Drupal също записват опитите за офанзива и внесоха повече изясненост по случая и опциите за отбягване на риска.
Припомняме, че Drupal беше във фокуса на вниманието и през предходната година, когато две свързани между тях уязвимости – Drupalgeddon2 и Drupalgeddon3 – доведоха до масирани офанзиви към системи на основата на Drupal. Отново най-популярните форми на опасност, с които бяха атакувани тези запаси бяха криптоминьори, само че също по този начин и различен вид зловредни стратегии, като троянски коне, подправена реклама и лъжливи известия за ъпдейт и др.
Самата накърнимост, разпозната като CVE-2019-6340, може да разреши осъществяването на инцидентен PHP код. Това може да бъде осъществено в случаите, в които е задействан модула RESTful Web Services и се разрешава осъществяване на поръчките PATCH или POST. Другият сюжет, при което това е допустимо е и в случай че други услуги са включени, като JSON:API в Drupal 8 или RESTful Web Services или Services в Drupal 7. Само два дни след излизането на кръпката за казуса, уязвимостта беше оценена и в Мрежата се появи и PoC (proof-of-concept) код, валидиращ съществуването на казуса и съдействуващ за експлоатирането му.
Imperva записват стотици опити за експлоатиране на уязвимостта, ориентирани към компрометиране на друг жанр клиенти – от дребни и междинни компании до финансови институции, организации от държавния и частния бранш. Самите опити идват от няколко разнообразни групировки в няколко разнообразни страни.
Цел на тези офанзиви са доставянето на друг жанр закани, най-често криптоминьори. Такъв е и случая с CoinIMP. Програмата се инженктира в index.php файла и се пробва да компрометира отбраната на системите на посетителите на уеб страницата, с цел да копае от компютрите им Monero и различен вид криптовалути. От Imperva уведомяват, че офанзиви биват провеждани с триумф и към машини, чиито админи са изпълнили напътствията на Drupal по отбягване на рисковете, свързани с опцията за експлоатиране. „ Експлойтът работи даже и откакто са били спазени препоръките на Drupal за деактивиране на всички уеб модули и възбрана на поръчките за PUT/PATCH/POST, отправяни към ресурсите, свързани с уеб услугите “, написа Еди Коган от Imperva.
Drupal също записват опитите за офанзива и внесоха повече изясненост по случая и опциите за отбягване на риска.
Припомняме, че Drupal беше във фокуса на вниманието и през предходната година, когато две свързани между тях уязвимости – Drupalgeddon2 и Drupalgeddon3 – доведоха до масирани офанзиви към системи на основата на Drupal. Отново най-популярните форми на опасност, с които бяха атакувани тези запаси бяха криптоминьори, само че също по този начин и различен вид зловредни стратегии, като троянски коне, подправена реклама и лъжливи известия за ъпдейт и др.
Източник: kaldata.com
КОМЕНТАРИ